1網(wǎng)絡(luò)安全評(píng)估實(shí)施指南本標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)安全評(píng)估工作的流程、方法和內(nèi)容。本標(biāo)準(zhǔn)適用于委網(wǎng)信辦和有關(guān)部門開展網(wǎng)絡(luò)安全評(píng)估工作參考；適用于網(wǎng)絡(luò)運(yùn)營者自行開展網(wǎng)絡(luò)安全評(píng)估工作參考；適用于網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)運(yùn)營者提供咨詢、檢測(cè)、評(píng)估等服務(wù)參考；適用于網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品及服務(wù)研發(fā)機(jī)構(gòu)研發(fā)檢查工具、安全咨詢服務(wù)，創(chuàng)新安全應(yīng)用參考。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T25069信息安全技術(shù)術(shù)語GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)運(yùn)營者Networkoperatorsshall是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。4縮略語下列縮略語適用于本文件。IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）MAC：介質(zhì)訪問控制（MediumAccessControl）5概述本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全評(píng)估的流程、方法和內(nèi)容。評(píng)估流程根據(jù)評(píng)估中各項(xiàng)工作內(nèi)容分為工作準(zhǔn)備、工作實(shí)施和結(jié)果反饋三個(gè)階段，其中工作準(zhǔn)備階段的工作是對(duì)評(píng)估實(shí)施有效性的保證，是評(píng)估工作的開始；工作實(shí)施階段的工作是對(duì)評(píng)估活動(dòng)中涉及的評(píng)估內(nèi)容判定的主要階段，同時(shí)，要基于獲得的各類信息進(jìn)行關(guān)聯(lián)分析，計(jì)算風(fēng)險(xiǎn)值，并綜合評(píng)估整體安全狀況出具評(píng)估報(bào)告；結(jié)果反饋階段的工作是對(duì)評(píng)估實(shí)施質(zhì)量判定的過程，是評(píng)估工作的終止。2評(píng)估方法是圍繞評(píng)估工作的全生命周期，根據(jù)中不同階段的工作事項(xiàng)，為達(dá)到相應(yīng)評(píng)估目的而采取的手段和行為方式，用于規(guī)范和指導(dǎo)評(píng)估者開展和落實(shí)網(wǎng)絡(luò)安全評(píng)估具體工作。評(píng)估內(nèi)容主要包括法律法規(guī)合規(guī)、行業(yè)領(lǐng)域要求、安全管理措施、安全技術(shù)措施、技術(shù)檢測(cè)等方面的評(píng)估，通過文檔查閱、現(xiàn)場訪談等方法，檢查被評(píng)估方是否遵從法律、法規(guī)和政策標(biāo)準(zhǔn)的相關(guān)要求，是否存在安全漏洞和安全隱患。6評(píng)估流程網(wǎng)絡(luò)安全評(píng)估實(shí)施流程分為3個(gè)階段：工作準(zhǔn)備階段、工作實(shí)施階段和結(jié)果階段。以上三種工作形式的安全評(píng)估宜根據(jù)圖1所示的評(píng)估流程制定相應(yīng)的評(píng)估方案。圖1網(wǎng)絡(luò)安全評(píng)估實(shí)施流程7評(píng)估方法37.1工作準(zhǔn)備階段7.1.1確定評(píng)估目標(biāo)評(píng)估方應(yīng)明確評(píng)估的背景、目標(biāo)、原則和依據(jù)，充分調(diào)研被評(píng)估方所屬行業(yè)的相關(guān)標(biāo)準(zhǔn)及政策文件，確定評(píng)估工作任務(wù)，并與被評(píng)估方簽署保密協(xié)議。a）網(wǎng)絡(luò)安全評(píng)估的目標(biāo)應(yīng)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容來明確網(wǎng)絡(luò)安全評(píng)估目標(biāo)；b）網(wǎng)絡(luò)安全評(píng)估應(yīng)貫穿于信息系統(tǒng)生命周期的各個(gè)階段中，由于信息系統(tǒng)生命周期各階段中評(píng)估實(shí)施的內(nèi)容、對(duì)象、安全需求均不同，因此被評(píng)估方應(yīng)首先根據(jù)當(dāng)前信息系統(tǒng)的實(shí)際情況來確定在信息系統(tǒng)生命周期中所處的階段，并以此來明確網(wǎng)絡(luò)安全評(píng)估目標(biāo)。7.1.2確定評(píng)估范圍在確定網(wǎng)絡(luò)安全評(píng)估相應(yīng)目標(biāo)之后，應(yīng)進(jìn)一步明確網(wǎng)絡(luò)安全評(píng)估的評(píng)估范圍，可以是組織全部信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可以是某個(gè)獨(dú)立信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程等。在確定評(píng)估范圍時(shí)，應(yīng)結(jié)合已確定的評(píng)估目標(biāo)和組織的實(shí)際情況，合理定義評(píng)估對(duì)象和評(píng)估范圍邊界，可以參考以下依據(jù)作為評(píng)估范圍邊界的劃分原則：a）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界；b）網(wǎng)絡(luò)及設(shè)備載體的邊界；c）物理環(huán)境邊界；d）組織管理權(quán)限邊界；e）其他。7.1.3組建評(píng)估團(tuán)隊(duì)網(wǎng)絡(luò)安全評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由被評(píng)估方、評(píng)估機(jī)構(gòu)等共同組建網(wǎng)絡(luò)安全評(píng)估小組；由被評(píng)估方領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人，以及評(píng)估機(jī)構(gòu)相關(guān)人員成立網(wǎng)絡(luò)安全評(píng)估領(lǐng)導(dǎo)小組；聘請(qǐng)相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。網(wǎng)絡(luò)安全評(píng)估小組應(yīng)完成評(píng)估前的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作；進(jìn)行網(wǎng)絡(luò)安全評(píng)估技術(shù)培訓(xùn)和保密教育；制定網(wǎng)絡(luò)安全評(píng)估過程管理相關(guān)規(guī)定；編制應(yīng)急預(yù)案等。雙方應(yīng)簽署保密協(xié)議，適情簽署個(gè)人保密協(xié)議。為確保網(wǎng)絡(luò)安全評(píng)估工作的順利有效進(jìn)行，應(yīng)采用合理的項(xiàng)目管理機(jī)制，主要相關(guān)成員角色與職責(zé)說明如表1和表2所示。表1網(wǎng)絡(luò)安全評(píng)估小組——評(píng)估方構(gòu)成角色與職責(zé)說明表1（續(xù)）評(píng)估方人員角色工作職責(zé)項(xiàng)目組長是網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中實(shí)施方的管理者、責(zé)任人，具體工作職責(zé)包括：1)根據(jù)項(xiàng)目情況組建評(píng)估項(xiàng)目實(shí)施團(tuán)隊(duì)；2)根據(jù)項(xiàng)目情況與被評(píng)估方一起確定評(píng)估目標(biāo)和評(píng)估范圍，并組織項(xiàng)目組成員對(duì)被評(píng)估方實(shí)施系統(tǒng)調(diào)研；3)根據(jù)評(píng)估目標(biāo)、評(píng)估范圍及系統(tǒng)調(diào)研的情況確定評(píng)估依據(jù)，并組織編寫評(píng)估方案；4)組織項(xiàng)目組成員開展網(wǎng)絡(luò)安全評(píng)估各階段的工作，并對(duì)實(shí)施過程進(jìn)行監(jiān)督、協(xié)調(diào)和4表1（續(xù)）評(píng)估方人員角色工作職責(zé)控制，確保各階段工作的有效實(shí)施；5)與被評(píng)估方進(jìn)行及時(shí)有效的溝通，及時(shí)商討項(xiàng)目進(jìn)展?fàn)顩r及可能發(fā)生問題的預(yù)測(cè)6)組織項(xiàng)目組成成員將網(wǎng)絡(luò)安全評(píng)估各階段的工作成果進(jìn)行匯總，編寫《網(wǎng)絡(luò)安全評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；7)負(fù)責(zé)將項(xiàng)目成果物移交被評(píng)估方，向被評(píng)估方匯報(bào)項(xiàng)目成果，并提請(qǐng)項(xiàng)目驗(yàn)收。安全技術(shù)評(píng)估人員是負(fù)責(zé)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中技術(shù)方面評(píng)估工作的實(shí)施人員。具體工作職責(zé)包括：1)根據(jù)評(píng)估目標(biāo)與評(píng)估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報(bào)告》的技術(shù)部分內(nèi)2)參與編寫《評(píng)估方案》；3)遵照《評(píng)估方案》實(shí)施各階段具體的技術(shù)性評(píng)估工作，主要包括：信息資產(chǎn)調(diào)查、行業(yè)領(lǐng)域要求檢查、安全技術(shù)措施檢查等；4)對(duì)評(píng)估工作中遇到的問題及時(shí)向項(xiàng)目組長匯報(bào)，并提出需要協(xié)調(diào)的資源；5)將各階段的技術(shù)性評(píng)估工作成果進(jìn)行匯總，參與編寫《網(wǎng)絡(luò)安全評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；6)負(fù)責(zé)向被評(píng)估方解答項(xiàng)目成果物中有關(guān)技術(shù)性細(xì)節(jié)問題。安全管理評(píng)估人員是負(fù)責(zé)網(wǎng)絡(luò)評(píng)估項(xiàng)目中管理方面評(píng)估工作的實(shí)施人員。具體工作職責(zé)包括：1)根據(jù)評(píng)估目標(biāo)與評(píng)估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報(bào)告》的管理部分內(nèi)2)參與編寫《評(píng)估方案》；3)遵照《評(píng)估方案》實(shí)施各階段具體的管理性評(píng)估工作，主要包括：信息資產(chǎn)調(diào)查、法律法規(guī)合規(guī)檢查、行業(yè)領(lǐng)域要求檢查、安全管理措施檢查等；4)對(duì)評(píng)估工作中遇到的問題及時(shí)向項(xiàng)目組長匯報(bào)，并提出需要協(xié)調(diào)的資源；5)將各階段的管理性評(píng)估工作成果進(jìn)行匯總，參與編寫《網(wǎng)絡(luò)安全評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；6)負(fù)責(zé)向被評(píng)估方解答項(xiàng)目成果物中有關(guān)管理性細(xì)節(jié)問題。技術(shù)檢測(cè)評(píng)估人員是負(fù)責(zé)網(wǎng)絡(luò)評(píng)估項(xiàng)目中技術(shù)檢測(cè)評(píng)估工作的實(shí)施人員。具體工作職責(zé)包括：1)根據(jù)評(píng)估目標(biāo)與評(píng)估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報(bào)告》的技術(shù)檢測(cè)部分內(nèi)容；2)參與編寫《評(píng)估方案》；3)遵照《評(píng)估方案》實(shí)施各階段具體的技術(shù)檢測(cè)評(píng)估工作，主要包括：信息資產(chǎn)調(diào)查、滲透測(cè)試、漏洞掃描等；4)對(duì)評(píng)估工作中遇到的問題及時(shí)向項(xiàng)目組長匯報(bào)，并提出需要協(xié)調(diào)的資源；5)將各階段的技術(shù)檢測(cè)評(píng)估工作成果進(jìn)行匯總，參與編寫《網(wǎng)絡(luò)安全評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；負(fù)責(zé)向被評(píng)估方解答項(xiàng)目成果物中有關(guān)技術(shù)檢測(cè)細(xì)節(jié)問題。質(zhì)量管控員是負(fù)責(zé)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中質(zhì)量管理的人員。具體工作職責(zé)包括：1)監(jiān)督審計(jì)各階段工作的實(shí)施進(jìn)度與時(shí)間進(jìn)度，對(duì)可能出現(xiàn)的影響項(xiàng)目進(jìn)度的問題及時(shí)通告項(xiàng)目組長；5表1（續(xù)）評(píng)估方人員角色工作職責(zé)2)負(fù)責(zé)對(duì)項(xiàng)目文檔進(jìn)行管控。表2網(wǎng)絡(luò)安全評(píng)估小組——被評(píng)估方成員角色與職責(zé)說明表2（續(xù)）被評(píng)估方人員角色工作職責(zé)項(xiàng)目組長是網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中被評(píng)估方的管理者。具體工作職責(zé)包括：1)與評(píng)估方的項(xiàng)目組長進(jìn)行工作協(xié)調(diào)；2)組織本單位的項(xiàng)目組成員在網(wǎng)絡(luò)安全評(píng)估各階段活動(dòng)中的配合工作；3)組織本單位的項(xiàng)目組成員對(duì)項(xiàng)目過程中實(shí)施方提交的評(píng)估信息，數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn)，對(duì)出現(xiàn)的偏離及時(shí)糾正；4)組織本單位的項(xiàng)目組成員對(duì)評(píng)估方提交的《評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5)組織對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目進(jìn)行驗(yàn)收；6)可授權(quán)項(xiàng)目協(xié)調(diào)人負(fù)責(zé)各階段性工作，代理實(shí)施自己的職責(zé)。信息安全管理人員是指被評(píng)估方的專職信息安全管理人員。在網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中的具體工作職責(zé)包括：1)在項(xiàng)目組長的安排下,配合評(píng)估機(jī)構(gòu)在網(wǎng)絡(luò)安全評(píng)估各階段中的工作；2)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估方案》進(jìn)行研討；3)參與對(duì)項(xiàng)目過程中實(shí)施方提交的評(píng)估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn),及時(shí)指正出現(xiàn)的偏離；4)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5)參與對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目的驗(yàn)收。項(xiàng)目協(xié)調(diào)人是指網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中被評(píng)估方的工作協(xié)調(diào)人員。具體工作職責(zé)是負(fù)責(zé)與被評(píng)估方各級(jí)部門之間的信息溝通,及時(shí)協(xié)調(diào)、調(diào)動(dòng)相關(guān)部門的資源,包括工作場地、物資、人員等,以保障項(xiàng)目的順利開展。業(yè)務(wù)人員是指在被評(píng)估方的業(yè)務(wù)使用人員代表(應(yīng)由各業(yè)務(wù)部門負(fù)責(zé)人或其授權(quán)人員擔(dān)任)。在網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中的具體工作職責(zé)包括:1)在項(xiàng)目組長的安排下,配合評(píng)估機(jī)構(gòu)在網(wǎng)絡(luò)安全評(píng)估各階段中的工作；2)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估方案》進(jìn)行研討；3)參與對(duì)項(xiàng)目過程中實(shí)施方提交的評(píng)估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn),及時(shí)指正出現(xiàn)的偏離；4)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5)參與對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目的驗(yàn)收。運(yùn)維人員是指在被評(píng)估方的信息系統(tǒng)運(yùn)行維護(hù)人員。在網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中的具體工作職責(zé)包括:1)在項(xiàng)目組長的安排下,配合評(píng)估機(jī)構(gòu)在網(wǎng)絡(luò)安全評(píng)估各階段中的工作；2)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估方案》進(jìn)行研討；3)參與對(duì)項(xiàng)目過程中實(shí)施方提交的評(píng)估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn),及時(shí)指正6表2（續(xù)）被評(píng)估方人員角色工作職責(zé)出現(xiàn)的偏離；4)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5)參與對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目的驗(yàn)收。開發(fā)人員是指在被評(píng)估方本單位或第三方外包商的軟件開發(fā)人員代表。在網(wǎng)絡(luò)安全評(píng)估項(xiàng)目中的具體工作職責(zé)包括:1)在項(xiàng)目組長的安排下,配合評(píng)估機(jī)構(gòu)在網(wǎng)絡(luò)安全評(píng)估各階段中的工作；2)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估方案》進(jìn)行研討；3)參與對(duì)項(xiàng)目過程中實(shí)施方提交的評(píng)估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn),及時(shí)指正出現(xiàn)的偏離；4)參與對(duì)評(píng)估機(jī)構(gòu)提交的《評(píng)估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5)參與對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目的驗(yàn)收。網(wǎng)絡(luò)安全評(píng)估工作領(lǐng)導(dǎo)小組主要負(fù)責(zé)決策網(wǎng)絡(luò)安全評(píng)估工作的目的、目標(biāo)；參與并指導(dǎo)網(wǎng)絡(luò)安全評(píng)估準(zhǔn)備階段的啟動(dòng)會(huì)議；協(xié)調(diào)評(píng)估實(shí)施過程中的各項(xiàng)資源；組織評(píng)估項(xiàng)目驗(yàn)收會(huì)議；推進(jìn)并監(jiān)督風(fēng)險(xiǎn)處理工作等。網(wǎng)絡(luò)安全評(píng)估工作領(lǐng)導(dǎo)小組一般由被評(píng)估方主管信息化或信息安全工作的領(lǐng)導(dǎo)負(fù)責(zé),成員一般包括：被評(píng)估方信息技術(shù)部門領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門領(lǐng)導(dǎo)等，評(píng)估機(jī)構(gòu)相關(guān)人員參與。7.1.4組織評(píng)估啟動(dòng)會(huì)議為保障評(píng)估工作的順利開展，確立工作目標(biāo)、統(tǒng)一思想、協(xié)調(diào)各方資源，應(yīng)召開網(wǎng)絡(luò)安全評(píng)估工作啟動(dòng)會(huì)議。啟動(dòng)會(huì)議一般由網(wǎng)絡(luò)安全評(píng)估領(lǐng)導(dǎo)小組負(fù)責(zé)人組織召開，參與人員應(yīng)該包括評(píng)估小組全體人員，相關(guān)業(yè)務(wù)部門主要負(fù)責(zé)人，如有必要可邀請(qǐng)相關(guān)專家組成員參加。啟動(dòng)會(huì)議主要內(nèi)容主要包括：a）被評(píng)估方領(lǐng)導(dǎo)宣布此次評(píng)估工作的意義、目的、目標(biāo)，以及評(píng)估工作中的責(zé)任分工；b）被評(píng)估方項(xiàng)目組長說明本次評(píng)估工作的計(jì)劃和各階段工作任務(wù)，以及需要配合的具體事項(xiàng)；c）評(píng)估方項(xiàng)目組長介紹評(píng)估工作一般性方法和工作內(nèi)容等。7.1.5組織調(diào)研調(diào)研是熟悉了解被評(píng)估對(duì)象的過程，網(wǎng)絡(luò)安全評(píng)估組應(yīng)進(jìn)行充分的調(diào)研，修正評(píng)估目標(biāo)跟范圍，同時(shí)為網(wǎng)絡(luò)安全評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。評(píng)估方應(yīng)對(duì)被評(píng)估方開展調(diào)研，要求被評(píng)估方提供的信息包括：a）被評(píng)估方負(fù)責(zé)人信息及人員組織架構(gòu)；b）被評(píng)估方的網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)等基本信息；c）主要運(yùn)營業(yè)務(wù)及其工作流程；d）關(guān)鍵崗位從業(yè)人員信息；e）網(wǎng)絡(luò)安全管理制度；f）安全防護(hù)基本情況以及曾發(fā)生的網(wǎng)絡(luò)安全事件情況；g）近一年內(nèi)自行或委托開展檢測(cè)評(píng)估情況、接受有關(guān)部門抽查檢測(cè)情況。7.1.6制定評(píng)估方案7網(wǎng)絡(luò)安全評(píng)估方案是評(píng)估工作實(shí)施活動(dòng)總體計(jì)劃，用于管理評(píng)估工作的開展，使評(píng)估各階段工作可控，并作為評(píng)估項(xiàng)目驗(yàn)收的主要依據(jù)之一。網(wǎng)絡(luò)安全評(píng)估方案應(yīng)得到被評(píng)估方的確認(rèn)和認(rèn)可。網(wǎng)絡(luò)安全評(píng)估方案的內(nèi)容應(yīng)包括：a）網(wǎng)絡(luò)安全評(píng)估工作框架：包括評(píng)估目標(biāo)、評(píng)估范圍、評(píng)估依據(jù)等；b）評(píng)估團(tuán)隊(duì)組織：包括評(píng)估小組成員、組織結(jié)構(gòu)、角色、責(zé)任；如有必要還應(yīng)包括網(wǎng)絡(luò)安全評(píng)估領(lǐng)導(dǎo)小組和專家組組建介紹等；c）評(píng)估工作計(jì)劃：包括各階段工作內(nèi)容、工作形式、工作成果等；d）風(fēng)險(xiǎn)規(guī)避：包括保密協(xié)議、評(píng)估工作環(huán)境要求、評(píng)估方法、工具選擇、應(yīng)急預(yù)案等；e）時(shí)間進(jìn)度安排：評(píng)估工作實(shí)施的時(shí)間進(jìn)度安排；f）項(xiàng)目驗(yàn)收方式：包括驗(yàn)收方式、驗(yàn)收依據(jù)、驗(yàn)收結(jié)論定義等；g）項(xiàng)目管理制度；h）被評(píng)估方需要配合的事項(xiàng)清單。7.1.7組織專項(xiàng)培訓(xùn)評(píng)估方應(yīng)組織專項(xiàng)培訓(xùn)，對(duì)負(fù)責(zé)評(píng)估工作的干部、專家、技術(shù)人員、有關(guān)運(yùn)維人員等進(jìn)行廣泛培訓(xùn)，確保評(píng)估工作質(zhì)量，培訓(xùn)內(nèi)容應(yīng)包括評(píng)估目的意義、流程方法、登記表填報(bào)說明、網(wǎng)絡(luò)安全評(píng)估方法等。7.2工作實(shí)施階段7.2.1評(píng)估實(shí)施準(zhǔn)備如果評(píng)估活動(dòng)是由有關(guān)部門發(fā)起并委托安全服務(wù)機(jī)構(gòu)進(jìn)行的，評(píng)估方應(yīng)獲得該領(lǐng)域業(yè)務(wù)主管部門的認(rèn)定或者委托授權(quán)，被評(píng)估方應(yīng)當(dāng)提供評(píng)估所必要的軟硬件條件和工作環(huán)境。7.2.2現(xiàn)場評(píng)估實(shí)施7.2.2.1實(shí)施方法評(píng)估方應(yīng)按照評(píng)估方案的要求，主要通過以下4種方法對(duì)被評(píng)估方所涉及的評(píng)估內(nèi)容實(shí)施網(wǎng)絡(luò)安全評(píng)估，并就發(fā)現(xiàn)的主要問題與被評(píng)估方進(jìn)行現(xiàn)場確認(rèn)。a）文檔查閱。評(píng)估方應(yīng)查閱被評(píng)估方的系統(tǒng)規(guī)劃設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)安全防護(hù)計(jì)劃、安全策略、架構(gòu)、要求、標(biāo)準(zhǔn)作業(yè)程序、授權(quán)協(xié)議、系統(tǒng)互連備忘錄、信息安全事件應(yīng)急響應(yīng)計(jì)劃等文檔，評(píng)估其準(zhǔn)確性和完整性；b）現(xiàn)場訪談。評(píng)估方應(yīng)在評(píng)估實(shí)施之前準(zhǔn)備好訪談問卷或調(diào)查表，補(bǔ)充在文檔查閱中未被發(fā)現(xiàn)的系統(tǒng)細(xì)節(jié)，進(jìn)一步理解和洞察系統(tǒng)的開發(fā)、集成、供應(yīng)、使用、管理等過程?，F(xiàn)場訪談?wù){(diào)查表參見附錄B；c）現(xiàn)場檢查。評(píng)估方應(yīng)根據(jù)評(píng)估方案和評(píng)估指導(dǎo)書，在合理的評(píng)估環(huán)境下，檢查各項(xiàng)安全功能和防護(hù)能力是否與提交文檔一致，是否符合相關(guān)標(biāo)準(zhǔn)和要求等；d）現(xiàn)場測(cè)試。評(píng)估方應(yīng)根據(jù)評(píng)估方案，在被評(píng)估單位授權(quán)的前提下，運(yùn)用滲透測(cè)試、漏洞掃描等方法直接在待評(píng)估系統(tǒng)現(xiàn)場環(huán)境上進(jìn)行安全性測(cè)試。7.2.2.2注意事項(xiàng)a）應(yīng)對(duì)評(píng)估資料和評(píng)估結(jié)果按照國家相關(guān)要求做好保密工作，可采取簽訂保密協(xié)議、最小接觸原則、職業(yè)道德評(píng)估、人員保密管理、設(shè)備保密管理、文檔保密管理等控制措施，明確問責(zé)和追責(zé)等處理方法，保證評(píng)估過程中產(chǎn)生、接觸的所有記錄、數(shù)據(jù)評(píng)估結(jié)果的安全、保密；8b）應(yīng)對(duì)安全評(píng)估實(shí)施過程進(jìn)行風(fēng)險(xiǎn)控制，可采取嚴(yán)格操作的申請(qǐng)和監(jiān)護(hù)、操作時(shí)間控制、制定應(yīng)急預(yù)案、搭建運(yùn)行系統(tǒng)模擬環(huán)境、關(guān)鍵業(yè)務(wù)系統(tǒng)采用人工評(píng)估、評(píng)估人員選取、評(píng)估現(xiàn)場安全培訓(xùn)等風(fēng)險(xiǎn)控制手段，防止安全評(píng)估過程中引入的風(fēng)險(xiǎn)。7.2.3匯總評(píng)估結(jié)果評(píng)估實(shí)施完成后，評(píng)估方應(yīng)及時(shí)對(duì)評(píng)估結(jié)果進(jìn)行梳理、匯總，從安全管理、技術(shù)防護(hù)等方面對(duì)評(píng)估發(fā)現(xiàn)的問題和隱患進(jìn)行分類整理。7.2.4分析問題隱患評(píng)估方應(yīng)對(duì)評(píng)估工作中發(fā)現(xiàn)的安全問題和風(fēng)險(xiǎn)隱患進(jìn)行分析評(píng)判，對(duì)被評(píng)估方的安全防護(hù)能力和風(fēng)險(xiǎn)管控能力予以綜合分析評(píng)估。評(píng)估方應(yīng)對(duì)評(píng)估發(fā)現(xiàn)的問題和隱患逐項(xiàng)進(jìn)行研究，深入分析原因。結(jié)合年度網(wǎng)絡(luò)安全形勢(shì)，對(duì)被評(píng)估方面臨的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)程度、信息系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力進(jìn)行評(píng)估。7.2.4.1關(guān)鍵屬性分析評(píng)估方分析被評(píng)估方的業(yè)務(wù)特點(diǎn)，給出系統(tǒng)對(duì)象在業(yè)務(wù)連續(xù)性、系統(tǒng)完整性和數(shù)據(jù)機(jī)密性等方面的等級(jí)（分為高、中、低三個(gè)等級(jí)）和具體描述，并把等級(jí)為高的系統(tǒng)對(duì)象業(yè)務(wù)特性定義為關(guān)鍵屬性，關(guān)鍵特性可以是上述幾個(gè)特性的組合。7.2.4.2脆弱性識(shí)別評(píng)估方根據(jù)評(píng)估內(nèi)容的檢查結(jié)果，對(duì)系統(tǒng)對(duì)象的脆弱性等級(jí)進(jìn)行分析（高、中、低）并給出具體描述。脆弱性等級(jí)按照GB/T209845.4節(jié)“脆弱性識(shí)別”和GB/T31509-20155.2.4節(jié)“脆弱性識(shí)別”進(jìn)行劃分，在被評(píng)估方的意見基礎(chǔ)之上，由評(píng)估方確定。7.2.4.3威脅分析評(píng)估方根據(jù)檢查結(jié)果，結(jié)合安全威脅清單，根據(jù)分析被評(píng)估方的業(yè)務(wù)特點(diǎn)，按照威脅的來源（內(nèi)部和外部）與威脅發(fā)生的可能性，對(duì)系統(tǒng)對(duì)象進(jìn)行威脅分析并給出具體描述。威脅分析方法采用GB/T209845.3節(jié)“威脅識(shí)別”和GB/T31509-20155.2.3.4節(jié)“威脅分析”中定義的方法。7.2.4.4風(fēng)險(xiǎn)分析評(píng)估根據(jù)上述關(guān)鍵屬性分析、脆弱性分析和威脅分析的結(jié)果，對(duì)系統(tǒng)對(duì)象每個(gè)關(guān)鍵屬性逐一進(jìn)行定性風(fēng)險(xiǎn)分析，定性風(fēng)險(xiǎn)分析采用GB/T209845.6節(jié)“風(fēng)險(xiǎn)分析”中定義的方法（參考附錄A的風(fēng)險(xiǎn)分析模型進(jìn)行風(fēng)險(xiǎn)值的計(jì)算并給出每個(gè)關(guān)鍵屬性風(fēng)險(xiǎn)分析結(jié)果和描述，最后根據(jù)風(fēng)險(xiǎn)分析的結(jié)果確定網(wǎng)絡(luò)運(yùn)營者整體安全狀況。在上述分析評(píng)估的基礎(chǔ)上，若存在以下情況之一的，應(yīng)認(rèn)定該系統(tǒng)對(duì)象的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為高：a）檢查部分有5項(xiàng)或以上明顯不符的；b）網(wǎng)絡(luò)運(yùn)營者未發(fā)現(xiàn)系統(tǒng)對(duì)象已存在公開高危漏洞的，或發(fā)現(xiàn)后未采取修補(bǔ)措施或制定修補(bǔ)計(jì)劃c）對(duì)自查和主管監(jiān)管部門評(píng)估發(fā)現(xiàn)的問題和提出的整改意見，有時(shí)限要求，但在時(shí)限要求內(nèi)未完成的；無時(shí)限要求，在評(píng)估結(jié)束1個(gè)月后未制定整改計(jì)劃的；d）出現(xiàn)2起或以上未對(duì)發(fā)現(xiàn)或通報(bào)預(yù)警的網(wǎng)絡(luò)安全高危漏洞、風(fēng)險(xiǎn)、威脅和事件等及時(shí)進(jìn)行應(yīng)對(duì)或處置，或未按要求反饋情況的；e）出現(xiàn)2起或以上瞞報(bào)、漏報(bào)、謊報(bào)網(wǎng)絡(luò)安全事件的。97.2.5研究整改措施評(píng)估方在深入分析問題隱患的基礎(chǔ)上，研究提出針對(duì)性的改進(jìn)措施建議。安全整改建議應(yīng)根據(jù)評(píng)估內(nèi)容中存在的安全風(fēng)險(xiǎn)類型，采取接受、消減、轉(zhuǎn)移、規(guī)避等方式。a）接受。準(zhǔn)備應(yīng)對(duì)風(fēng)險(xiǎn)事件，接受風(fēng)險(xiǎn)的后果，包括積極的開發(fā)應(yīng)急計(jì)劃；b）消減。實(shí)施響應(yīng)的安全措施減少風(fēng)險(xiǎn)發(fā)生的概率，包括完善安全管理制度、部署安全產(chǎn)品等；c）轉(zhuǎn)移。對(duì)風(fēng)險(xiǎn)造成的損失的承擔(dān)的轉(zhuǎn)移，包括合同的約定，由保證策略或者第三方擔(dān)保；d）規(guī)避。通過計(jì)劃的變更來消除風(fēng)險(xiǎn)或風(fēng)險(xiǎn)發(fā)生的條件，包括安全加固、代碼完善等。7.2.6落實(shí)整改內(nèi)容被評(píng)估方網(wǎng)絡(luò)安全管理部門應(yīng)根據(jù)評(píng)估方的建議，組織相關(guān)單位和人員進(jìn)行整改，安全整改應(yīng)遵循以下內(nèi)容：a）被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)根據(jù)整改意見及時(shí)進(jìn)行安全整改；b）應(yīng)加強(qiáng)對(duì)整改效果和整改效率的管理，涉及到大范圍整改時(shí)，可根據(jù)需要委托具有相應(yīng)安全資質(zhì)或集成資質(zhì)的機(jī)構(gòu)進(jìn)行整改措施的落實(shí)；c）整改完成后應(yīng)組織評(píng)估方進(jìn)行再次評(píng)估；d）對(duì)于不能及時(shí)整改的內(nèi)容，應(yīng)根據(jù)風(fēng)險(xiǎn)與責(zé)任之間的關(guān)系、風(fēng)險(xiǎn)的嚴(yán)重程度，通過風(fēng)險(xiǎn)轉(zhuǎn)移、制定整改計(jì)劃和時(shí)間表進(jìn)行風(fēng)險(xiǎn)的處置。7.2.7編寫評(píng)估報(bào)告評(píng)估方對(duì)評(píng)估工作進(jìn)行全面總結(jié)，根據(jù)評(píng)估得到的結(jié)果，輸出正式的評(píng)估報(bào)告（模板示例參見附錄C），報(bào)告內(nèi)容應(yīng)包括：a）被評(píng)估方描述：網(wǎng)絡(luò)運(yùn)營單位基本情況、網(wǎng)絡(luò)拓?fù)淝闆r、核心資產(chǎn)情況、承載業(yè)務(wù)情況和安全防護(hù)現(xiàn)狀；b）評(píng)估結(jié)果說明：評(píng)估項(xiàng)、評(píng)估內(nèi)容、評(píng)估結(jié)果、發(fā)現(xiàn)的主要問題（安全漏洞、隱患和被攻擊情況等）及其詳細(xì)描述；c）整改情況說明：整改項(xiàng)、整改內(nèi)容、整改效果、未整改情況及其詳細(xì)描述；d）安全風(fēng)險(xiǎn)分析：通過對(duì)評(píng)估中發(fā)現(xiàn)的安全問題及風(fēng)險(xiǎn)，匯總分析存在的安全隱患及造成的影響；e）安全狀況評(píng)價(jià)：結(jié)合被評(píng)估方所承載業(yè)務(wù)重要性和威脅，綜合評(píng)價(jià)被評(píng)估方的網(wǎng)絡(luò)安全總體狀7.3結(jié)果反饋階段7.3.1組織評(píng)審會(huì)議組織召開評(píng)審會(huì)是評(píng)估活動(dòng)結(jié)束的重要標(biāo)志。評(píng)審會(huì)應(yīng)由被評(píng)估方組織，評(píng)估方協(xié)助，并聘請(qǐng)相關(guān)行業(yè)網(wǎng)絡(luò)安全專家、網(wǎng)絡(luò)安全專業(yè)領(lǐng)域?qū)＜业取Ｔu(píng)審會(huì)議針對(duì)評(píng)估項(xiàng)目的實(shí)施流程、評(píng)估的結(jié)論、分析的模型與計(jì)算方法及評(píng)估活動(dòng)產(chǎn)生的各類文檔等內(nèi)容提出意見，經(jīng)評(píng)估方完善、補(bǔ)充和修改后，形成最終修訂材料。a）組織人員應(yīng)提供有關(guān)文檔供評(píng)審人員進(jìn)行檢查，包括但不限于調(diào)研報(bào)告、評(píng)估方案、網(wǎng)絡(luò)安全評(píng)估報(bào)告、安全整改建議書等；b）評(píng)估項(xiàng)目組長及相關(guān)人員應(yīng)對(duì)評(píng)估技術(shù)路線、工作計(jì)劃、實(shí)施情況、達(dá)標(biāo)情況等內(nèi)容進(jìn)行匯報(bào)，并解答評(píng)審人員的置疑；c）評(píng)審會(huì)中，應(yīng)有專門記錄人員負(fù)責(zé)對(duì)各位專家發(fā)表意見進(jìn)行記錄；d）依據(jù)評(píng)審意見，評(píng)估方應(yīng)對(duì)相關(guān)報(bào)告進(jìn)行完善、補(bǔ)充和修改，并將最終修訂材料一并提交被評(píng)估方，作為評(píng)估項(xiàng)目結(jié)束的移交文檔。7.3.2評(píng)估結(jié)果反饋評(píng)估方應(yīng)將評(píng)估工作情況和評(píng)估報(bào)告向委托方反饋。8評(píng)估內(nèi)容8.1法律法規(guī)合規(guī)評(píng)估8.1.1關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)評(píng)估方根據(jù)被評(píng)估方的關(guān)鍵業(yè)務(wù)，查看關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)材料，檢查支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)是否均納入了認(rèn)定范圍，并檢查下列內(nèi)容：a）應(yīng)如實(shí)上報(bào)支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，避免存在漏報(bào)、誤報(bào)、瞞報(bào)的情況；b）關(guān)鍵信息基礎(chǔ)設(shè)施的新建、更新、廢棄等流程應(yīng)符合相關(guān)規(guī)定；c）應(yīng)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，并依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施法律法規(guī)要求實(shí)行重點(diǎn)保護(hù)，包括安全機(jī)構(gòu)設(shè)置、關(guān)鍵人員背景審查、系統(tǒng)和數(shù)據(jù)容災(zāi)備份等；d）應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)每年對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行一次檢測(cè)評(píng)估；e）應(yīng)建立健全的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。8.1.2個(gè)人隱私數(shù)據(jù)保護(hù)評(píng)估方應(yīng)了解被評(píng)估方搜集個(gè)人隱私數(shù)據(jù)的目的和范圍，并檢查下列內(nèi)容：a）應(yīng)建立個(gè)人信息和重要數(shù)據(jù)保護(hù)制度；b）應(yīng)在用戶授權(quán)范圍內(nèi)或依據(jù)相關(guān)要求收集、存儲(chǔ)、使用數(shù)據(jù)；c）如因業(yè)務(wù)需要，向境外提供了個(gè)人信息和重要數(shù)據(jù)，應(yīng)進(jìn)行安全評(píng)估；d）應(yīng)按照GB/T35273-2020的要求，規(guī)范在收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。8.1.3網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈評(píng)估方檢查被評(píng)估方采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，并檢查下列內(nèi)容：a）網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求；b）網(wǎng)絡(luò)產(chǎn)品、服務(wù)正式運(yùn)行前或發(fā)生變更前應(yīng)通過安全檢測(cè)并記錄；c）應(yīng)與產(chǎn)品和服務(wù)的提供者簽訂了安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任；d）對(duì)可能影響國家安全的產(chǎn)品或服務(wù)，應(yīng)通過國家安全審查；e）應(yīng)通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查。8.1.4網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估方檢查被評(píng)估方對(duì)等級(jí)保護(hù)要求的落實(shí)情況：例如等級(jí)保護(hù)定級(jí)備案證明、等級(jí)保護(hù)測(cè)評(píng)報(bào)告8.2行業(yè)領(lǐng)域要求評(píng)估評(píng)估方查看被評(píng)估方提供的法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范清單，檢查被評(píng)估方在相關(guān)行業(yè)領(lǐng)域相關(guān)規(guī)定、標(biāo)準(zhǔn)的落實(shí)情況。8.3安全管理措施評(píng)估8.3.1網(wǎng)絡(luò)安全組織管理網(wǎng)絡(luò)安全組織管理通常包括網(wǎng)絡(luò)安全管理工作單位領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全管理工作內(nèi)設(shè)機(jī)構(gòu)、網(wǎng)絡(luò)安全責(zé)任制度建設(shè)和落實(shí)情況的檢查。a）應(yīng)明確一名主管領(lǐng)導(dǎo)，負(fù)責(zé)本單位網(wǎng)絡(luò)安全管理工作，根據(jù)國家法律法規(guī)有關(guān)要求，結(jié)合實(shí)際組織制定網(wǎng)絡(luò)安全管理制度，完善技術(shù)防護(hù)措施，協(xié)調(diào)處理重大網(wǎng)絡(luò)安全事件；b）應(yīng)指定一個(gè)機(jī)構(gòu)，具體承擔(dān)網(wǎng)絡(luò)安全管理工作，負(fù)責(zé)組織落實(shí)網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，開展網(wǎng)絡(luò)安全教育培訓(xùn)和監(jiān)督檢查等；c）應(yīng)建立健全崗位網(wǎng)絡(luò)安全責(zé)任制度，明確崗位及人員的網(wǎng)絡(luò)安全責(zé)任。8.3.2網(wǎng)絡(luò)安全日常管理8.3.2.1基本要求a）應(yīng)制定信息安全工作的總體方針和目標(biāo)，明確信息安全工作的主要任務(wù)和原則；b）應(yīng)建立健全信息安全相關(guān)管理制度；c）應(yīng)加強(qiáng)對(duì)人員、資產(chǎn)、采購等的安全管理，并保證信息安全工作經(jīng)費(fèi)投入。8.3.2.2人員管理a）應(yīng)與重點(diǎn)崗位的計(jì)算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密要求和責(zé)任；b）應(yīng)制定并嚴(yán)格執(zhí)行人員離崗離職網(wǎng)絡(luò)安全管理規(guī)定，人員離崗離職時(shí)應(yīng)終止信息系統(tǒng)訪問權(quán)限，收回各種軟硬件設(shè)備及身份證件、門禁卡等，并簽署安全保密承諾書；c）應(yīng)建立外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫龋獠咳藛T須經(jīng)審批后方可進(jìn)入，并安排本單位工作人員現(xiàn)場陪同，對(duì)訪問活動(dòng)進(jìn)行記錄并留存；d）應(yīng)對(duì)網(wǎng)絡(luò)安全責(zé)任事故進(jìn)行查處，對(duì)違反網(wǎng)絡(luò)安全管理規(guī)定的人員給予嚴(yán)肅處理，對(duì)造成網(wǎng)絡(luò)安全事故的依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任，并以適當(dāng)方式通報(bào)。8.3.2.3信息資產(chǎn)管理a）應(yīng)建立并嚴(yán)格執(zhí)行信息資產(chǎn)管理制度；b）應(yīng)指定專人負(fù)責(zé)信息資產(chǎn)管理；c）應(yīng)建立信息資產(chǎn)臺(tái)賬（清單），統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、統(tǒng)一發(fā)放；d）應(yīng)及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況，保證賬物相符；e）應(yīng)建立并嚴(yán)格執(zhí)行設(shè)備維修維護(hù)和報(bào)廢管理制度。8.3.2.4經(jīng)費(fèi)保障a）應(yīng)將網(wǎng)絡(luò)安全設(shè)施運(yùn)行維護(hù)、網(wǎng)絡(luò)安全服務(wù)采購、日常網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全教育培訓(xùn)、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全應(yīng)急處置等費(fèi)用納入部門年度預(yù)算；b）應(yīng)嚴(yán)格落實(shí)網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算，保證網(wǎng)絡(luò)安全經(jīng)費(fèi)投入。8.3.2.5采購管理a）應(yīng)采購安全可控的信息技術(shù)產(chǎn)品和服務(wù)。采購基于新型技術(shù)的產(chǎn)品和服務(wù)或者國外產(chǎn)品和服務(wù)時(shí)，應(yīng)進(jìn)行必要性和安全性評(píng)估；b）辦公用計(jì)算機(jī)、服務(wù)器等設(shè)備的更新?lián)Q代中，應(yīng)采購配備安全可控CPU、操作系統(tǒng)等的關(guān)鍵軟硬件；c）公文處理軟件、信息安全產(chǎn)品等應(yīng)采購國產(chǎn)產(chǎn)品，信息安全產(chǎn)品應(yīng)經(jīng)過國家統(tǒng)一認(rèn)證；d）接受捐贈(zèng)的信息技術(shù)產(chǎn)品，使用前應(yīng)進(jìn)行安全測(cè)評(píng)，并與捐贈(zèng)方簽訂信息安全與保密協(xié)議；e）不得采購社會(huì)第三方認(rèn)證機(jī)構(gòu)提供的信息安全管理體系認(rèn)證服務(wù)；f）信息系統(tǒng)數(shù)據(jù)中心、災(zāi)備中心不得設(shè)立在境外。8.3.3信息系統(tǒng)基本情況8.3.3.1基本信息梳理對(duì)被評(píng)估方主管信息系統(tǒng)進(jìn)行全面評(píng)估，及時(shí)掌握本單位信息系統(tǒng)基本情況，特別是變更情況，以便針對(duì)性地開展網(wǎng)絡(luò)安全管理和防護(hù)工作。a）被評(píng)估方主管應(yīng)對(duì)信息系統(tǒng)的基本信息情況熟練掌握；b）系統(tǒng)主管應(yīng)掌握信息系統(tǒng)的變更情況；c）定級(jí)情況、數(shù)據(jù)集中情況、災(zāi)備情況等。8.3.3.2系統(tǒng)構(gòu)成情況梳理評(píng)估方檢查被評(píng)估方信息系統(tǒng)相關(guān)的軟硬件構(gòu)成情況，了解掌握軟硬件資產(chǎn)信息并記錄結(jié)果，包括：a）重點(diǎn)梳理主要硬件設(shè)備類型、數(shù)量、生產(chǎn)商情況，硬件設(shè)備類型主要有：服務(wù)器、終端計(jì)算機(jī)、路由器、交換機(jī)、存儲(chǔ)設(shè)備、防火墻、終端計(jì)算機(jī)、磁盤陣列、磁帶庫及其他主要安全設(shè)備；b）重點(diǎn)梳理主要軟件類型、套數(shù)、生產(chǎn)商情況，軟件類型主要有：操作系統(tǒng)、數(shù)據(jù)庫管理軟件、公文處理軟件、郵件系統(tǒng)及主要應(yīng)用系統(tǒng)。8.3.4網(wǎng)絡(luò)安全應(yīng)急管理a）應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，原則上每年評(píng)估一次，并根據(jù)實(shí)際情況適時(shí)修訂；b）應(yīng)組織開展應(yīng)急預(yù)案的宣貫培訓(xùn)，確保相關(guān)人員熟悉應(yīng)急預(yù)案；c）應(yīng)每年開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，并將演練情況報(bào)網(wǎng)絡(luò)安全主管部門；d）應(yīng)建立網(wǎng)絡(luò)安全事件報(bào)告和通報(bào)機(jī)制，提高預(yù)防預(yù)警能力；e）應(yīng)明確應(yīng)急技術(shù)支援隊(duì)伍，做好應(yīng)急技術(shù)支援準(zhǔn)備；f）應(yīng)做好網(wǎng)絡(luò)安全應(yīng)急物資保障，確保必要的備機(jī)、備件等資源到位；g）應(yīng)根據(jù)業(yè)務(wù)實(shí)際需要對(duì)重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進(jìn)行備份。8.3.5網(wǎng)絡(luò)安全教育培訓(xùn)a）應(yīng)定期開展網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)工作，提高網(wǎng)絡(luò)安全意識(shí)，增強(qiáng)網(wǎng)絡(luò)安全基本防護(hù)技能；b）應(yīng)定期開展網(wǎng)絡(luò)安全管理人員和技術(shù)人員專業(yè)技能培訓(xùn)，提高網(wǎng)絡(luò)安全工作能力和水平；c）應(yīng)記錄并保存網(wǎng)絡(luò)安全教育培訓(xùn)、考核情況和結(jié)果。8.3.6外包服務(wù)管理a）應(yīng)建立并嚴(yán)格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度；b）應(yīng)與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密責(zé)任，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包，不得泄露、擴(kuò)散、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息，不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn)，不得以服務(wù)為由強(qiáng)制要求委托方購買、使用指定產(chǎn)品；c）信息技術(shù)現(xiàn)場服務(wù)過程中應(yīng)安排專人陪同，并詳細(xì)記錄服務(wù)過程；d）外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進(jìn)行安全測(cè)評(píng)，要求開發(fā)方及時(shí)提供系統(tǒng)測(cè)試用例及測(cè)試結(jié)果、軟件的升級(jí)、漏洞等信息和相應(yīng)服務(wù)；e）外包開發(fā)的系統(tǒng)、系統(tǒng)發(fā)生版本迭代更新時(shí)，應(yīng)要求開發(fā)方提供系統(tǒng)版本迭代說明，說明內(nèi)容包含但不限于系統(tǒng)功能，影響范圍等相應(yīng)內(nèi)容；f）信息系統(tǒng)運(yùn)維外包不得采用遠(yuǎn)程在線運(yùn)維服務(wù)方式。8.3.7應(yīng)用系統(tǒng)安全防護(hù)（基本情況）a）應(yīng)按照GB/T20984-2007的要求，定期對(duì)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)和威脅、薄弱環(huán)節(jié)以及防護(hù)措施的有效性等及進(jìn)行分析評(píng)估；b）應(yīng)綜合考慮信息系統(tǒng)的重要性、涉密程度和面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等因素，按照國家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)政策和技術(shù)標(biāo)準(zhǔn)規(guī)范，對(duì)信息系統(tǒng)實(shí)施相應(yīng)等級(jí)的安全管理；c）應(yīng)按照GB/T22240-2020的要求，確定信息系統(tǒng)安全保護(hù)等級(jí)；d）應(yīng)按照GB/T22239-2019的要求，對(duì)信息系統(tǒng)實(shí)施相應(yīng)等級(jí)的安全建設(shè)和整改；e）應(yīng)按照信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)相關(guān)要求，對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。8.3.8網(wǎng)絡(luò)安全自評(píng)估a）應(yīng)參照本指南中的流程、方法及內(nèi)容，認(rèn)真組織開展網(wǎng)絡(luò)安全自評(píng)估工作，掌握網(wǎng)絡(luò)安全總體狀況和面臨的威脅，查找安全隱患，堵塞安全漏洞，完善安全措施，減少安全風(fēng)險(xiǎn)，提高安全防護(hù)能力；b）應(yīng)每年至少進(jìn)行一次網(wǎng)絡(luò)安全自評(píng)估，具體時(shí)間和范圍應(yīng)根據(jù)系統(tǒng)的上線時(shí)間、系統(tǒng)的變更情況、事件的發(fā)生頻率、威脅的嚴(yán)重程度等因素確定；c）應(yīng)加強(qiáng)自評(píng)估工作組織領(lǐng)導(dǎo)，建立評(píng)估工作責(zé)任制，制定評(píng)估工作方案并認(rèn)真落實(shí)；d）應(yīng)重視安全技術(shù)檢測(cè)，采取必要的技術(shù)檢測(cè)手段對(duì)信息系統(tǒng)、服務(wù)器、終端計(jì)算機(jī)等進(jìn)行安全檢測(cè)，可根據(jù)需要委托符合要求的檢測(cè)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)；e）應(yīng)加強(qiáng)安全評(píng)估過程中的保密管理和風(fēng)險(xiǎn)控制，嚴(yán)格檢查人員、有關(guān)文檔和數(shù)據(jù)的安全保密管理，制定安全評(píng)估應(yīng)急預(yù)案，確保被評(píng)估信息系統(tǒng)的正常運(yùn)行；f）應(yīng)對(duì)評(píng)估中發(fā)現(xiàn)的問題進(jìn)行分析研判，制定整改措施并及時(shí)整改；g）應(yīng)對(duì)年度安全評(píng)估情況進(jìn)行全面總結(jié)，按照要求如實(shí)完成評(píng)估報(bào)告并報(bào)信息安全主管部門。8.3.9網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)避評(píng)估方檢查被評(píng)估方是否采取了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)避措施，降低網(wǎng)絡(luò)安全事件發(fā)生時(shí)產(chǎn)生影響和損失，并檢查下列內(nèi)容：a）應(yīng)對(duì)安全投入及安全管控的持續(xù)性和有效性進(jìn)行評(píng)估；b）應(yīng)制定明確的風(fēng)險(xiǎn)轉(zhuǎn)嫁策略機(jī)制；c）應(yīng)根據(jù)評(píng)估結(jié)果采取損失補(bǔ)償機(jī)制和風(fēng)險(xiǎn)防范機(jī)制。8.4安全技術(shù)措施評(píng)估8.4.1基本要求a）開展信息化建設(shè)應(yīng)按照同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則，同步規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、管理信息安全設(shè)施，建立健全信息安全防護(hù)體系；b）應(yīng)根據(jù)信息化發(fā)展情況通過科學(xué)的方式制定了清晰的網(wǎng)絡(luò)安全建設(shè)發(fā)展規(guī)劃路線；c）應(yīng)基于業(yè)務(wù)鏈的關(guān)聯(lián)關(guān)系進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析；d）應(yīng)結(jié)合現(xiàn)有業(yè)務(wù)場景的變化、新興技術(shù)的變化采取針對(duì)性的防護(hù)策略；e）應(yīng)隨著業(yè)務(wù)的變化動(dòng)態(tài)設(shè)置或調(diào)整網(wǎng)絡(luò)安全防護(hù)體系框架。8.4.2物理環(huán)境安全防護(hù)a）機(jī)房應(yīng)采取防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電等安全措施；b）機(jī)房應(yīng)配備備用電源，采取溫濕度控制、電磁防護(hù)等安全防護(hù)措施；c）機(jī)房應(yīng)采取物理訪問控制措施，配備門禁系統(tǒng)或有專人值守。8.4.3關(guān)鍵設(shè)備安全防護(hù)a）應(yīng)定期對(duì)惡意代碼防護(hù)設(shè)備（如防病毒網(wǎng)關(guān)）的惡意代碼庫進(jìn)行更新；b）服務(wù)器（應(yīng)用系統(tǒng)服務(wù)器、數(shù)據(jù)庫服務(wù)器）應(yīng)配置口令策略，包括口令強(qiáng)度和更新頻率；應(yīng)配置安全審計(jì)策略，包括啟用審計(jì)功能、留存操作記錄、定期分析日志、對(duì)異常訪問和操作及時(shí)進(jìn)行處置；應(yīng)配置病毒防護(hù)策略，包括安裝防病毒軟件、及時(shí)更新病毒庫；應(yīng)及時(shí)更新補(bǔ)丁，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的補(bǔ)??；c）網(wǎng)絡(luò)設(shè)備、安全設(shè)備，應(yīng)配置口令策略，包括口令強(qiáng)度和更新頻率；應(yīng)配置安全審計(jì)策略，包括啟用審計(jì)功能、留存操作記錄、定期分析日志、對(duì)異常訪問和操作及時(shí)進(jìn)行處置。8.4.4應(yīng)用系統(tǒng)安全防護(hù)（門戶網(wǎng)站）a）網(wǎng)站開通前，應(yīng)組織專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)，對(duì)新增應(yīng)用要進(jìn)行安全評(píng)估；b）應(yīng)定期對(duì)網(wǎng)站鏈接進(jìn)行安全性和有效性檢查；c）應(yīng)采取必要的技術(shù)措施，提高網(wǎng)站防篡改、防攻擊能力，加強(qiáng)網(wǎng)站敏感信息保護(hù)；d）應(yīng)建立完善網(wǎng)絡(luò)信息發(fā)布審核制度，明確審核程序，嚴(yán)格審核流程。8.4.5重要數(shù)據(jù)安全防護(hù)a）應(yīng)采用技術(shù)措施（如加密、分區(qū)分域存儲(chǔ)等）對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行保護(hù)；b）應(yīng)采取技術(shù)措施對(duì)傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和校驗(yàn)；c）對(duì)于接口類應(yīng)用程序，應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性和保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息。8.4.6Windows停止安全服務(wù)應(yīng)對(duì)a）應(yīng)對(duì)仍在使用WindowsXP、Windows7的設(shè)備和升級(jí)為Windows10的設(shè)備進(jìn)行歸類，并納入重點(diǎn)防護(hù)范圍；b）應(yīng)針對(duì)WindowsXP、Windows7停止服務(wù)制定安全保護(hù)方案，部署安全防護(hù)產(chǎn)品；c）應(yīng)卸載仍使用WindowsXP、Windows7的計(jì)算機(jī)中與工作無關(guān)的應(yīng)用程序；應(yīng)采用白名單管控技術(shù)措施；應(yīng)關(guān)閉不必要的服務(wù)，應(yīng)關(guān)閉了不必要的端口；d）應(yīng)進(jìn)行國產(chǎn)操作系統(tǒng)和應(yīng)用軟件的推廣使用。8.4.7數(shù)據(jù)泄露及系統(tǒng)被控防護(hù)a）數(shù)據(jù)中心的設(shè)備機(jī)房應(yīng)位于中國境內(nèi)；b）采用第三方的云計(jì)算服務(wù)，應(yīng)記錄云計(jì)算服務(wù)商情況；c）外包服務(wù)商提供服務(wù)過程中應(yīng)有專人陪同，應(yīng)禁止遠(yuǎn)程在線維護(hù)。8.4.8網(wǎng)絡(luò)邊界安全防護(hù)a）非涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實(shí)行邏輯隔離，涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實(shí)行物理隔離；b）建立互聯(lián)網(wǎng)接入審批和登記制度，嚴(yán)格控制互聯(lián)網(wǎng)接入口數(shù)量，加強(qiáng)互聯(lián)網(wǎng)接入口安全管理和安全防護(hù)；c）應(yīng)采取訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范等措施，進(jìn)行網(wǎng)絡(luò)邊界防護(hù)；d）應(yīng)根據(jù)承載業(yè)務(wù)的重要性對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)分區(qū)域管理，采取必要的技術(shù)措施對(duì)不同網(wǎng)絡(luò)分區(qū)進(jìn)行防護(hù)、對(duì)不同安全域之間實(shí)施訪問控制；e）應(yīng)對(duì)網(wǎng)絡(luò)日志進(jìn)行管理，定期分析，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。8.4.9無線網(wǎng)絡(luò)安全防護(hù)a）應(yīng)采取身份鑒別、地址過濾等措施對(duì)無線網(wǎng)絡(luò)的接入進(jìn)行管理，采取白名單管理機(jī)制，防止非授權(quán)接入造成的內(nèi)網(wǎng)滲透事件發(fā)生；b）應(yīng)采用與有線邊界相同的安全防護(hù)手段，對(duì)常見的無線攻擊進(jìn)行防御；c）應(yīng)修改無線路由設(shè)備的默認(rèn)管理地址；d）應(yīng)修改無線路由管理賬戶默認(rèn)口令，設(shè)置復(fù)雜口令，防止暴力破解后臺(tái)；e）用戶接入認(rèn)證加密應(yīng)采用WPA2及更高級(jí)別算法，防止破解接入口令。8.4.10電子郵件系統(tǒng)安全防護(hù)a）應(yīng)加強(qiáng)郵件系統(tǒng)安全防護(hù)，采取反垃圾郵件等技術(shù)措施；b）應(yīng)規(guī)范電子郵箱的注冊(cè)管理，原則上只限于本部門工作人員注冊(cè)使用；c）應(yīng)嚴(yán)格管理郵箱賬號(hào)及口令，采取技術(shù)和管理措施確保口令具有一定強(qiáng)度并定期更換。8.4.11終端計(jì)算機(jī)安全防護(hù)a）應(yīng)采取集中統(tǒng)一管理方式對(duì)終端計(jì)算機(jī)進(jìn)行管理，統(tǒng)一軟件下發(fā)，統(tǒng)一安裝系統(tǒng)補(bǔ)丁，統(tǒng)一實(shí)施病毒庫升級(jí)和病毒查殺，統(tǒng)一進(jìn)行漏洞掃描；b）應(yīng)規(guī)范軟硬件使用，不得擅自更改軟硬件配置，不得擅自安全軟件；c）應(yīng)加強(qiáng)賬戶及口令管理，使用具有一定強(qiáng)度的口令并定期更換；d）應(yīng)對(duì)接入互聯(lián)網(wǎng)的終端計(jì)算機(jī)采取控制措施，包括實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等；e）應(yīng)定期對(duì)終端計(jì)算機(jī)進(jìn)行安全審計(jì)；f）非涉密計(jì)算機(jī)不得存儲(chǔ)和處理國家秘密信息。8.4.12存儲(chǔ)介質(zhì)防護(hù)a）應(yīng)嚴(yán)格存儲(chǔ)陣列、磁帶庫等大容量存儲(chǔ)介質(zhì)的管理，采取技術(shù)措