ICS35040

L80.

團(tuán)體標(biāo)準(zhǔn)

T/ISEAA001—2020

網(wǎng)絡(luò)安全等級保護(hù)測評高風(fēng)險(xiǎn)判定指引

Highriskassessmentguidelinesforclassifiedprotection

evaluationofcybersecurity

2020-11-05發(fā)布2020-12-01實(shí)施

中關(guān)村信息安全測評聯(lián)盟發(fā)布

T/ISEAA001—2020

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

判例概述

5.1……………2

判定原則

5.2……………2

場景釋義

5.3……………3

高風(fēng)險(xiǎn)判例

6………………3

安全物理環(huán)境

6.1………………………3

安全通信網(wǎng)絡(luò)

6.2………………………4

安全區(qū)域邊界

6.3………………………7

安全計(jì)算環(huán)境

6.4………………………9

安全管理中心

6.5………………………18

安全管理制度和機(jī)構(gòu)

6.6………………19

安全管理人員

6.7………………………19

安全建設(shè)管理

6.8………………………20

安全運(yùn)維管理

6.9………………………21

附錄資料性附錄中第三級安全要求與本文件判例對應(yīng)關(guān)系

A()GB/T22239—2019……………24

附錄資料性附錄高風(fēng)險(xiǎn)判例整改建議

B()……………29

參考文獻(xiàn)

……………………35

T/ISEAA001—2020

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則給出的

GB/T1.1—2020《1:》

規(guī)則起草

。

本文件由中關(guān)村信息安全測評聯(lián)盟提出并歸口

。

本文件起草單位上海市信息安全測評認(rèn)證中心國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中

:、

心江蘇金盾檢測技術(shù)有限公司江蘇駿安信息測評認(rèn)證有限公司山東新潮信息技術(shù)有限公司合肥天

、、、、

帷信息安全技術(shù)有限公司深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司杭州安信檢測技術(shù)有限公司成

、、、

都安美勤信息技術(shù)股份有限公司甘肅安信信息安全技術(shù)有限公司教育信息安全等級保護(hù)測評中心

、、、

遼寧浪潮創(chuàng)新信息技術(shù)有限公司銀行卡檢測中心安徽祥盾信息科技有限公司

、、。

本文件主要起草人金銘彥羅崢張笑笑劉靜徐御陳清明陸臻陳妍吳曉艷何欣峰許曉晨

:、、、、、、、、、、、

張杰武建雙牛建紅倪祥煥何志鵬嚴(yán)維兵王永琦范仲偉武斌楊凌珺盛璐禕

、、、、、、、、、、。

Ⅰ

T/ISEAA001—2020

引言

等級保護(hù)測評是推動和貫徹網(wǎng)絡(luò)安全等級保護(hù)工作的重要環(huán)節(jié)之一為了更好地提升全國等級保

。

護(hù)測評機(jī)構(gòu)的能力規(guī)范測評機(jī)構(gòu)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)嚴(yán)重程度的判定規(guī)則中關(guān)村信息安全測評聯(lián)盟組織

,,

編寫本等級保護(hù)測評行業(yè)指引性文件旨在促進(jìn)安全風(fēng)險(xiǎn)判定更加標(biāo)準(zhǔn)化規(guī)范化從而更好地規(guī)范等

,、,

級保護(hù)測評活動提升等級保護(hù)測評工作質(zhì)量

,。

本文件依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求中第二級及以上安

GB/T22239—2019《》

全通用要求及云計(jì)算安全擴(kuò)展要求中的基本原則對測評過程中發(fā)現(xiàn)的安全性問題如何進(jìn)行高風(fēng)險(xiǎn)判

,

定給出指引

。

本文件僅考慮一般系統(tǒng)場景無法涵蓋所有行業(yè)及特殊場景實(shí)際測評活動中應(yīng)根據(jù)安全問題所處

,,

的環(huán)境面臨的威脅已采取的措施并結(jié)合本文件內(nèi)容做出客觀科學(xué)合理的判定

、、,、、。

Ⅱ

T/ISEAA001—2020

網(wǎng)絡(luò)安全等級保護(hù)測評高風(fēng)險(xiǎn)判定指引

1范圍

本文件適用于網(wǎng)絡(luò)安全等級保護(hù)測評安全檢查等活動

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

計(jì)算機(jī)場地通用規(guī)范

GB/T2887—2011

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB17859—1999

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T22239—2019

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求

GB/T28448—2019

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

3術(shù)語和定義

和界定的以及下列

GB17859—1999、GB/T25069—2010、GB/T31168—2014GB/T22239—2019

術(shù)語和定義適用于本文件

。

31

.

高可用性系統(tǒng)

可用性大于或等于年度停機(jī)時(shí)間小于或等于的系統(tǒng)例如銀行證券非銀行支付

99.9%,8.8h,,、、

機(jī)構(gòu)互聯(lián)網(wǎng)金融等交易類系統(tǒng)提供公共服務(wù)的民生類系統(tǒng)工業(yè)控制類系統(tǒng)云計(jì)算平臺等

、,,,。

32

.

關(guān)鍵網(wǎng)絡(luò)設(shè)備