CCSL05DB11北京市市場監(jiān)督管理局發(fā)布IDB11/T2413—2025 2規(guī)范性引用文件 3術(shù)語和定義 14安全保護(hù)要求 14.1網(wǎng)絡(luò)安全等級保護(hù) 4.2安全通信網(wǎng)絡(luò) 4.3安全區(qū)域邊界 4.4安全計(jì)算環(huán)境 24.5安全管理中心 24.6安全管理制度 24.7安全管理機(jī)構(gòu) 24.8安全管理人員 24.9供應(yīng)鏈安全 4.10數(shù)據(jù)安全 4.11安全運(yùn)營 45安全評估要求 55.1安全評估方法 5.2安全評估單元 5.3安全評估判定方法 22DB11/T2413—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由北京市公安局、北京市委網(wǎng)信辦共同提出并歸口。本文件由北京市公安局、北京市委網(wǎng)信辦共同組織實(shí)施。本文件起草單位：北京市公安局關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中心、北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)、中共北京市委網(wǎng)絡(luò)安全和信息化委員會辦公室、公安部第三研究所、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、公安部第一研究所、北京市大數(shù)據(jù)中心、北京市數(shù)字教育中心、北京市標(biāo)準(zhǔn)化研究院、首都信息發(fā)展股份有限公司、北京安信天行科技有限公司、深信服科技股份有限公司、國投云網(wǎng)數(shù)字科技有限公司、科來網(wǎng)絡(luò)技術(shù)股份有限公司、瑞數(shù)信息技術(shù)（上海）有限公司、國網(wǎng)北京市電力公司、中國政法大學(xué)法治與可持續(xù)發(fā)展中心、中國法學(xué)會法治研究所。本文件主要起草人：張帆、問聞、郭毅、楊虎、周永戰(zhàn)、陳亮、韓國寧、李杰、鄺琳、李寶彥、徐碩、陳廣勇、劉宇暢、王叢妍、艾春迪、儲迅潮、于躍、張志豪、遲海成、李童、賈寶剛、趙章界、陳昊、李一鳴、劉云、張益謙、安亞鵬、方莉莉、葉潤國、劉佳、閆明、張衛(wèi)云、關(guān)福君、趙子慧、李秋香、宮月、劉卜瑜、韓盟、周獻(xiàn)飛、周巧霖、郝作成、劉金瑞、榮曉燕、李文靜。DB11/T2413—2025為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)要求，加強(qiáng)北京市市域內(nèi)重要信息基礎(chǔ)設(shè)施的安全保護(hù)，在國家等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的基礎(chǔ)上，借鑒我國相關(guān)部門在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)，結(jié)合我國和北京市現(xiàn)有的網(wǎng)絡(luò)安全保障成果，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員等方面，提出重要信息基礎(chǔ)設(shè)施增強(qiáng)型安全保護(hù)與評估要求，切實(shí)加強(qiáng)重要信息基礎(chǔ)設(shè)施安全保護(hù)。DB11/T2413—20251信息安全技術(shù)重要信息基礎(chǔ)設(shè)施安全保護(hù)與評估要求本文件規(guī)定了重要信息基礎(chǔ)設(shè)施的安全保護(hù)要求和評估要求。本文件適用于重要信息基礎(chǔ)設(shè)施安全保護(hù)和安全評估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T25069信息安全技術(shù)術(shù)語GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1重要信息基礎(chǔ)設(shè)施importantinformationin北京市重要信息基礎(chǔ)設(shè)施是指北京市公共通信和信息服務(wù)、電子政務(wù)、能源、交通、金融、教育、水務(wù)、衛(wèi)生健康、城市管理、廣播電視等重要行業(yè)和領(lǐng)域中，一旦遭受攻擊或者數(shù)據(jù)泄露，可能嚴(yán)重危害首都城市運(yùn)行，直接威脅國家安全或者嚴(yán)重危害經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和地區(qū)安全的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。4安全保護(hù)要求4.1網(wǎng)絡(luò)安全等級保護(hù)重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)等級應(yīng)不低于GB/T22240規(guī)定的第三級，且應(yīng)達(dá)到相應(yīng)等級的安全保護(hù)要求。4.2安全通信網(wǎng)絡(luò)對業(yè)務(wù)連續(xù)性要求較高的，應(yīng)采用至少兩條不同運(yùn)營商的通信線路，并實(shí)現(xiàn)通信線路的故障實(shí)時(shí)檢測和鏈路自動(dòng)切換。4.3安全區(qū)域邊界安全區(qū)域邊界應(yīng)符合以下要求：a)應(yīng)依據(jù)GB/T39204—2022中10.1要求，收斂暴露面；b)應(yīng)采取措施保證跨網(wǎng)絡(luò)通信雙方的身份真實(shí)性，并授予最小訪問控制權(quán)限；c)應(yīng)在網(wǎng)絡(luò)區(qū)域間采取訪問控制措施，防止網(wǎng)絡(luò)區(qū)域之間的橫向攻擊；d)應(yīng)禁止將數(shù)據(jù)庫服務(wù)器部署在互聯(lián)網(wǎng)用戶直接訪問的網(wǎng)絡(luò)區(qū)域。2DB11/T2413—20254.4安全計(jì)算環(huán)境安全計(jì)算環(huán)境應(yīng)符合以下要求：a)若設(shè)備影響重要業(yè)務(wù)連續(xù)性需求，應(yīng)進(jìn)行更換或升級；b)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫用戶的權(quán)限分離；c)應(yīng)采用密碼技術(shù)保證數(shù)據(jù)庫口令在配置文件中的保密性；d)應(yīng)實(shí)現(xiàn)應(yīng)用程序（API）接口調(diào)用的最小權(quán)限管理，如采用限制調(diào)用頻率、白名單等措施；e)應(yīng)限制遠(yuǎn)程訪問數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等相關(guān)管理系統(tǒng)的網(wǎng)絡(luò)地址；f)應(yīng)要求用戶修改應(yīng)用系統(tǒng)的默認(rèn)口令；g)應(yīng)采用有效措施防止互聯(lián)網(wǎng)應(yīng)用被惡意篡改，如采用網(wǎng)頁防篡改技術(shù)和第三方安全服務(wù)等方4.5安全管理中心安全管理中心應(yīng)符合以下要求：a)應(yīng)支持采用自動(dòng)化工具進(jìn)行系統(tǒng)賬戶、配置、漏洞、補(bǔ)丁和病毒庫等的集中管理；b)應(yīng)集中收集各類安全告警、日志信息和流量監(jiān)測數(shù)據(jù)等，實(shí)現(xiàn)所有監(jiān)測數(shù)據(jù)的整合分析。4.6安全管理制度安全管理制度應(yīng)符合以下要求：a)應(yīng)制定并發(fā)布適合本組織的網(wǎng)絡(luò)安全保護(hù)計(jì)劃,明確重要信息基礎(chǔ)設(shè)施安全保護(hù)工作目標(biāo),從管理、技術(shù)和運(yùn)營等方面進(jìn)行規(guī)劃,每年至少對網(wǎng)絡(luò)安全保護(hù)計(jì)劃進(jìn)行一次評估，必要時(shí)進(jìn)行b)應(yīng)制定網(wǎng)絡(luò)安全策略，并根據(jù)重要信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險(xiǎn)和威脅的變化進(jìn)行相應(yīng)調(diào)整，安全策略包括但不限于安全互聯(lián)策略、安全審計(jì)策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、自動(dòng)化機(jī)制策略、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等；c)應(yīng)制定網(wǎng)絡(luò)安全管理制度,覆蓋風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)、網(wǎng)絡(luò)安全教育培訓(xùn)、業(yè)務(wù)連續(xù)性管理及容災(zāi)備份、三同步(安全措施同步規(guī)劃、同步建設(shè)和同步使用)和供應(yīng)鏈安全管理等方面。4.7安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)應(yīng)符合以下要求：a)應(yīng)將重要信息基礎(chǔ)設(shè)施安全保護(hù)納入網(wǎng)絡(luò)安全工作委員會或領(lǐng)導(dǎo)小組重要議事日程，明確一名首席網(wǎng)絡(luò)安全官作為高層管理人員，專職管理或者分管重要信息基礎(chǔ)設(shè)施安全保護(hù)工作，參與重要信息基礎(chǔ)設(shè)施重要事項(xiàng)決策；b)應(yīng)明確重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全管理工作的管理機(jī)構(gòu)；c)應(yīng)建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)機(jī)制；d)應(yīng)為每個(gè)重要信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人，并明確其安全管理職責(zé)；e)應(yīng)保證重要信息基礎(chǔ)設(shè)施的安全管理責(zé)任人能夠參與其信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評審和項(xiàng)目驗(yàn)收等環(huán)節(jié)的決策。4.8安全管理人員安全管理人員應(yīng)符合以下要求：a)如發(fā)生以下情形之一，應(yīng)對重要信息基礎(chǔ)設(shè)施安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員實(shí)施背景審查，審查通過后方可上崗，包括：DB11/T2413—202531)在履行崗位職責(zé)前；2)相關(guān)人員的身份、國籍、安全背景和家庭情況等發(fā)生變化時(shí)；3)崗位發(fā)生重大變化或其他必要情況下。b)應(yīng)為重要信息基礎(chǔ)設(shè)施相關(guān)人員提供安全意識教育和安全技能培訓(xùn)，重要信息基礎(chǔ)設(shè)施相關(guān)人員年度接受網(wǎng)絡(luò)安全培訓(xùn)時(shí)間應(yīng)不少于15個(gè)學(xué)時(shí)，在此基礎(chǔ)上，網(wǎng)絡(luò)安全崗位人員年度還應(yīng)接受專業(yè)技能培訓(xùn)不少于15個(gè)學(xué)時(shí)，其中包含數(shù)據(jù)安全相關(guān)培訓(xùn)內(nèi)容；c)應(yīng)明確重要信息基礎(chǔ)設(shè)施相關(guān)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等，并簽訂安全保密協(xié)議。4.9供應(yīng)鏈安全供應(yīng)鏈安全管理應(yīng)符合以下要求：a)應(yīng)建立供應(yīng)鏈安全管理策略，包括風(fēng)險(xiǎn)管理策略、供應(yīng)方選擇和管理策略、產(chǎn)品開發(fā)采購策略、安全維護(hù)策略等；b)應(yīng)建立供應(yīng)商管理制度，至少包括供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處置等方面的管理要求；c)應(yīng)形成年度采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單，采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國家及行業(yè)合規(guī)要求；d)應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)持續(xù)監(jiān)測、風(fēng)險(xiǎn)評估和事件響應(yīng)制度，明確不同等級安全事件的報(bào)告、處置、響應(yīng)和流程機(jī)制，規(guī)定安全事件的現(xiàn)場處置、事件報(bào)告和后期恢復(fù)等要求；e)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，在合同中應(yīng)明確提供者的安全責(zé)任和義務(wù)，要求提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的設(shè)計(jì)、研發(fā)、生產(chǎn)和交付等關(guān)鍵環(huán)節(jié)加強(qiáng)安全管理，要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶的系統(tǒng)和設(shè)備，或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代；f)應(yīng)與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者簽訂安全保密協(xié)議，協(xié)議內(nèi)容包括安全職責(zé)、保密內(nèi)容、獎(jiǎng)懲機(jī)制和有效期等；g)重要信息基礎(chǔ)設(shè)施采購公有云服務(wù)時(shí)，應(yīng)優(yōu)先使用通過國家云計(jì)算服務(wù)安全評估的云平臺；h)應(yīng)當(dāng)建立嚴(yán)格的授權(quán)機(jī)制，操作系統(tǒng)、數(shù)據(jù)庫等最高管理員權(quán)限應(yīng)由本單位人員專人負(fù)責(zé)，應(yīng)當(dāng)按照最小必要原則對外包單位人員進(jìn)行精細(xì)化授權(quán)，在授權(quán)期滿后及時(shí)收回權(quán)限。4.10數(shù)據(jù)安全數(shù)據(jù)安全管理應(yīng)符合以下要求：a)應(yīng)明確數(shù)據(jù)安全管理責(zé)任，建立數(shù)據(jù)安全評價(jià)考核制度，編制數(shù)據(jù)安全保護(hù)計(jì)劃；b)應(yīng)保證數(shù)據(jù)安全管理責(zé)任人能夠參與其信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評審和項(xiàng)目驗(yàn)收等環(huán)節(jié)的決策；c)應(yīng)基于國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及業(yè)務(wù)需求制定組織內(nèi)部的數(shù)據(jù)分類分級制度，建立數(shù)據(jù)資產(chǎn)d)應(yīng)基于數(shù)據(jù)分類分級制定數(shù)據(jù)安全保護(hù)策略，明確重要數(shù)據(jù)和個(gè)人信息在收集、存儲、使用、加工、傳輸、提供和公開等關(guān)鍵環(huán)節(jié)的安全保護(hù)要求；e)應(yīng)采用加密、脫敏、去標(biāo)識化等技術(shù)手段保護(hù)個(gè)人敏感信息安全；f)應(yīng)采用技術(shù)措施標(biāo)記敏感數(shù)據(jù)，輔助追蹤數(shù)據(jù)泄露源頭；g)應(yīng)在重要信息基礎(chǔ)設(shè)施退役廢棄時(shí)，按照數(shù)據(jù)安全保護(hù)策略對存儲的數(shù)據(jù)進(jìn)行處置；h)應(yīng)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，對未落實(shí)數(shù)據(jù)安全保護(hù)策略的情況及時(shí)整改；i)應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期開展應(yīng)急演練。DB11/T2413—202544.11安全運(yùn)營4.11.1資產(chǎn)識別資產(chǎn)識別活動(dòng)應(yīng)符合以下要求：a)應(yīng)建立重要信息基礎(chǔ)設(shè)施資產(chǎn)信息清單，資產(chǎn)包括但不限于物理設(shè)備、虛擬設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、業(yè)務(wù)系統(tǒng)等，資產(chǎn)信息包括但不限于資產(chǎn)名稱、資產(chǎn)類別、資產(chǎn)型號或版本、網(wǎng)絡(luò)地址、用途、數(shù)量、所處位置、資產(chǎn)責(zé)任人、資產(chǎn)防護(hù)優(yōu)先級等；b)應(yīng)采取技術(shù)措施支持資產(chǎn)的識別和動(dòng)態(tài)更新。4.11.2檢測評估檢測評估活動(dòng)應(yīng)符合以下要求：a)應(yīng)建立重要信息基礎(chǔ)設(shè)施安全檢測評估制度，包括但不限于檢測評估工作流程、方式方法和周期等內(nèi)容；b)應(yīng)采取自行或者委托的方式對重要信息基礎(chǔ)設(shè)施開展年度檢測評估，并及時(shí)整改發(fā)現(xiàn)的問題；c)新建的重要信息基礎(chǔ)設(shè)施應(yīng)開展檢測評估工作，通過后方可投入運(yùn)行；改建或擴(kuò)建的重要信息基礎(chǔ)設(shè)施發(fā)生重大變化時(shí)，應(yīng)重新開展檢測評估工作并及時(shí)對發(fā)現(xiàn)的問題進(jìn)行整改；d)應(yīng)至少每年組織開展一次攻防演練，檢測重要信息基礎(chǔ)設(shè)施在面對實(shí)際網(wǎng)絡(luò)攻擊時(shí)的防護(hù)和e)應(yīng)至少半年進(jìn)行一次釣魚攻擊演練，對演練過程中容易被社會工程學(xué)攻擊的部門、員工進(jìn)行重點(diǎn)安全意識培訓(xùn)；f)應(yīng)積極配合安全主管部門的安全風(fēng)險(xiǎn)檢測和安全專項(xiàng)檢查工作，提供必要的材料和技術(shù)支持，針對發(fā)現(xiàn)的安全隱患和風(fēng)險(xiǎn)建立清單，制定整改方案，并及時(shí)整改。4.11.3監(jiān)測預(yù)警監(jiān)測預(yù)警活動(dòng)應(yīng)符合以下要求：a)應(yīng)制定監(jiān)測預(yù)警和信息通報(bào)制度，明確分級別的信息報(bào)告和響應(yīng)處置程序，建立常態(tài)化監(jiān)測預(yù)警和快速應(yīng)急響應(yīng)機(jī)制；b)應(yīng)與行業(yè)主管部門和監(jiān)管部門建立網(wǎng)絡(luò)安全信息共享機(jī)制，網(wǎng)絡(luò)安全共享信息內(nèi)容包括但不限于漏洞信息、威脅信息、最佳實(shí)踐和前沿技術(shù)等，當(dāng)網(wǎng)絡(luò)安全共享信息為漏洞信息時(shí)，應(yīng)符合國家關(guān)于漏洞管理制度要求；c)應(yīng)及時(shí)響應(yīng)行業(yè)主管部門和監(jiān)管部門的安全預(yù)警，分析、研判事件或威脅對自身網(wǎng)絡(luò)安全保護(hù)對象可能造成損害的程度，并將獲取的安全預(yù)警信息按照規(guī)定通報(bào)給相關(guān)人員和相關(guān)部門，必要時(shí)應(yīng)啟動(dòng)應(yīng)急預(yù)案。4.11.4應(yīng)急演練應(yīng)急演練活動(dòng)應(yīng)符合以下要求：a)應(yīng)急預(yù)案中應(yīng)包括特殊時(shí)期的應(yīng)急響應(yīng)流程；b)應(yīng)圍繞業(yè)務(wù)的可持續(xù)運(yùn)行設(shè)定演練場景，定期組織開展應(yīng)急演練。4.11.5事件處置事件處置活動(dòng)應(yīng)符合以下要求：a)應(yīng)明確網(wǎng)絡(luò)安全事件處置的專門組織，并配備技術(shù)支撐；DB11/T2413—20255b)應(yīng)建立安全事件通報(bào)機(jī)制，及時(shí)通報(bào)內(nèi)部相關(guān)部門和人員，并按照規(guī)定向相關(guān)方通報(bào)安全事件；c)應(yīng)形成年度網(wǎng)絡(luò)安全監(jiān)測預(yù)警和事件處置報(bào)告，并上報(bào)網(wǎng)絡(luò)安全工作委員會或領(lǐng)導(dǎo)小組。5安全評估要求5.1安全評估方法5.1.1人員訪談評估人員通過引導(dǎo)方式，進(jìn)行有目的的、有針對性的交流，以幫助評估人員理解、澄清或取得證據(jù)5.1.2文檔審查評估人員通過查看制度文檔、設(shè)計(jì)方案、運(yùn)維報(bào)告和記錄文檔等各類文檔，以幫助評估人員理解澄清或取得證據(jù)的過程。5.1.3配置核查評估人員通過登錄各類設(shè)備、各類平臺和應(yīng)用系統(tǒng)，進(jìn)行安全配置查看和分析，以幫助評估人員理解澄清或取得證據(jù)的過程。5.1.4技術(shù)測試評估人員通過使用測試工具（如漏洞掃描工具、滲透測試工具、抓包工具）或人工手動(dòng)測試等方式，發(fā)現(xiàn)重要信息基礎(chǔ)設(shè)施存在的安全漏洞，驗(yàn)證已有的安全措施是否有效，以幫助評估人員理解澄清或取得證據(jù)的過程。5.2安全評估單元5.2.1網(wǎng)絡(luò)安全等級保護(hù)該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.1b)評估對象：等級保護(hù)備案證明和等級保護(hù)測評報(bào)告等。c)評估實(shí)施包括以下內(nèi)容：1)查驗(yàn)是否具有等級保護(hù)備案證明，定級范圍是否覆蓋評估對象，安全保護(hù)等級是否不低于第三級；2)審查是否按照國家法律法規(guī)要求對評估對象全部開展等級測評，查驗(yàn)評估對象符合率是否高于60%，且不存在重大風(fēng)險(xiǎn)隱患。d)單元判定：如果12）均為肯定，則符合本評估單元指標(biāo)要求；如果1）或2）為否定，則不符合本評估單元指標(biāo)要求。5.2.2安全通信網(wǎng)絡(luò)該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.2b)評估對象：網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D和網(wǎng)絡(luò)策略配置等。DB11/T2413—20256c)評估實(shí)施包括以下內(nèi)容：1)核查評估對象的業(yè)務(wù)連續(xù)性要求是否較高；2)核查網(wǎng)絡(luò)拓?fù)渲惺欠翊嬖谥辽賰蓷l不同運(yùn)營商的通信線路；3)核查是否配置了通信線路的故障實(shí)時(shí)檢測機(jī)制和自動(dòng)切換機(jī)制。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；如果1）為肯定，2）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.3安全區(qū)域邊界5.2.3.1安全區(qū)域邊界01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.3a）b)評估對象：安全管理員、網(wǎng)絡(luò)安全設(shè)計(jì)文檔、設(shè)備資產(chǎn)清單和網(wǎng)絡(luò)拓?fù)鋱D等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否制定暴露面收斂策略或制度；2)核驗(yàn)暴露面收斂策略或制度執(zhí)行文件，是否采取暴露面收斂措施；3)通過技術(shù)手段驗(yàn)證暴露面收斂措施是否有效。d)單元判定：如果1）～3）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.3.2安全區(qū)域邊界02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.3b）b)評估對象：安全管理員、業(yè)務(wù)系統(tǒng)設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D和通信設(shè)備等。c)評估實(shí)施包括以下內(nèi)容：1)核查業(yè)務(wù)系統(tǒng)設(shè)計(jì)文檔和網(wǎng)絡(luò)拓?fù)鋱D，是否存在跨網(wǎng)絡(luò)的通信；2)若存在跨網(wǎng)絡(luò)的通信，核查業(yè)務(wù)系統(tǒng)設(shè)計(jì)文檔和通信設(shè)備，是否進(jìn)行通信雙方的身份真實(shí)性驗(yàn)證；3)核查訪問控制策略配置，是否授予最小訪問權(quán)限。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；如果2）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.3.3安全區(qū)域邊界03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.3c）b)評估對象：網(wǎng)絡(luò)安全設(shè)計(jì)文檔、網(wǎng)絡(luò)拓?fù)鋱D和訪問控制設(shè)備等。c)評估實(shí)施包括以下內(nèi)容：1)根據(jù)網(wǎng)絡(luò)區(qū)域劃分情況，核查是否在每個(gè)網(wǎng)絡(luò)區(qū)域之間部署訪問控制設(shè)備；2)核查訪問控制設(shè)備，是否進(jìn)行了有效的訪問控制策略配置。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.3.4安全區(qū)域邊界04該評估單元應(yīng)按如下要求展開評估：DB11/T2413—20257a)評估指標(biāo)：見4.3d）b)評估對象：網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)設(shè)計(jì)文檔和網(wǎng)絡(luò)/安全設(shè)備等。c)評估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D和系統(tǒng)設(shè)計(jì)文檔，查看數(shù)據(jù)庫服務(wù)器部署位置，是否未將數(shù)據(jù)庫服務(wù)器部署在互聯(lián)網(wǎng)訪問區(qū)；2)核查網(wǎng)絡(luò)/安全設(shè)備配置，是否未將數(shù)據(jù)庫服務(wù)器映射到互聯(lián)網(wǎng)。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求；如果1）或2）為否定，則不符合本評估單元指標(biāo)要求。5.2.4安全計(jì)算環(huán)境5.2.4.1安全計(jì)算環(huán)境01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4a）b)評估對象：系統(tǒng)運(yùn)維人員和系統(tǒng)運(yùn)行監(jiān)測系統(tǒng)等。c)評估實(shí)施：訪談系統(tǒng)運(yùn)維人員或核查系統(tǒng)運(yùn)行監(jiān)測系統(tǒng)，系統(tǒng)設(shè)備是否滿足業(yè)務(wù)連續(xù)性需求。d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.2安全計(jì)算環(huán)境02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4b）b)評估對象：操作系統(tǒng)和數(shù)據(jù)庫等。c)評估實(shí)施包括以下內(nèi)容：1)核查操作系統(tǒng)用戶和數(shù)據(jù)庫用戶的權(quán)限是否已進(jìn)行分離；2)核查操作系統(tǒng)用戶和數(shù)據(jù)庫用戶的權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.3安全計(jì)算環(huán)境03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4c）b)評估對象：應(yīng)用系統(tǒng)連接數(shù)據(jù)庫的配置文件等。c)評估實(shí)施包括以下內(nèi)容：1)核查數(shù)據(jù)庫口令存儲的配置文件，數(shù)據(jù)庫口令在配置文件中是否進(jìn)行加密存儲；2)測試數(shù)據(jù)庫口令加密存儲后，是否無法進(jìn)行解密。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.4安全計(jì)算環(huán)境04該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4d）b)評估對象：安全管理員、數(shù)據(jù)庫和應(yīng)用程序接口配置文件等。DB11/T2413—20258c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否制定應(yīng)用程序接口的訪問控制策略；2)核查應(yīng)用程序接口訪問控制策略，是否采用限制調(diào)用頻率、白名單等措施實(shí)現(xiàn)應(yīng)用程序接口調(diào)用的最小權(quán)限管理；3)通過技術(shù)手段驗(yàn)證應(yīng)用程序接口訪問控制措施是否有效。d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.5安全計(jì)算環(huán)境05該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4e）b)評估對象：安全管理員，以及數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等相關(guān)管理系統(tǒng)等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否具有數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等相關(guān)管理系統(tǒng)；2)查看是否限制遠(yuǎn)程訪問數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等相關(guān)管理系統(tǒng)的網(wǎng)絡(luò)地址；3)通過技術(shù)手段驗(yàn)證遠(yuǎn)程登錄地址限制措施是否有效。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；1）為肯定的情況下，如果2）～3）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.6安全計(jì)算環(huán)境06該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4f）b)評估對象：應(yīng)用系統(tǒng)等。c)評估實(shí)施包括以下內(nèi)容：1)核查是否采取技術(shù)措施，要求用戶修改應(yīng)用系統(tǒng)的默認(rèn)口令；2)通過技術(shù)手段驗(yàn)證是否存在默認(rèn)口令。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.4.7安全計(jì)算環(huán)境07該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.4g）b)評估對象：互聯(lián)網(wǎng)系統(tǒng)、應(yīng)用系統(tǒng)開發(fā)/維護(hù)人員和第三方安全服務(wù)合同/報(bào)告等。c)評估實(shí)施包括以下內(nèi)容：1)訪談是否存在面向互聯(lián)網(wǎng)的網(wǎng)站系統(tǒng)；2)核查面向互聯(lián)網(wǎng)的網(wǎng)站系統(tǒng)，是否通過部署網(wǎng)頁防篡改技術(shù)措施或第三方安全服務(wù)等方式防止互聯(lián)網(wǎng)應(yīng)用被惡意篡改。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；1）為肯定的情況下，如果2）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.5安全管理中心5.2.5.1安全管理中心01該評估單元應(yīng)按如下要求展開評估：DB11/T2413—20259a)評估指標(biāo)：見4.5a）b)評估對象：安全管理平臺、賬戶管理系統(tǒng)、防病毒管理系統(tǒng)、配置管理系統(tǒng)、補(bǔ)丁管理系統(tǒng)和漏洞掃描系統(tǒng)等。c)評估實(shí)施：核查是否采用支持自動(dòng)化工具對系統(tǒng)賬戶、配置、漏洞、補(bǔ)丁和病毒庫等的集中d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.5.2安全管理中心02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.5b）b)評估對象：網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)流量監(jiān)測設(shè)備、網(wǎng)絡(luò)安全設(shè)備清單、日志綜合分析平臺、網(wǎng)絡(luò)安全運(yùn)營/態(tài)勢/威脅感知類平臺及相關(guān)設(shè)備；c)評估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)流量監(jiān)測設(shè)備的監(jiān)測范圍是否覆蓋每個(gè)網(wǎng)絡(luò)區(qū)域；2)核查日志綜合分析平臺、網(wǎng)絡(luò)安全運(yùn)營/態(tài)勢/威脅感知類平臺及相關(guān)設(shè)備的日志收集范圍是否覆蓋整個(gè)系統(tǒng)；3)核查網(wǎng)絡(luò)流量監(jiān)測設(shè)備的功能實(shí)現(xiàn)和配置情況，是否能夠?qū)W(wǎng)絡(luò)流量進(jìn)行分析，是否具備異常行為檢測和威脅感知能力；4)核查日志綜合分析平臺、網(wǎng)絡(luò)安全運(yùn)營/態(tài)勢/威脅感知類平臺及相關(guān)設(shè)備，是否能夠通過對日志和安全告警數(shù)據(jù)的集中分析，實(shí)現(xiàn)對網(wǎng)絡(luò)安全攻擊事件態(tài)勢分析。d)單元判定：如果1）～4）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.6安全管理制度5.2.6.1安全管理制度01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.6a）b)評估對象：網(wǎng)絡(luò)安全保護(hù)計(jì)劃/規(guī)劃文件和安全管理員等。c)評估實(shí)施包括以下內(nèi)容：1)核查是否制定了網(wǎng)絡(luò)安全保護(hù)計(jì)劃；2)核查網(wǎng)絡(luò)安全保護(hù)計(jì)劃是否明確了重要信息基礎(chǔ)設(shè)施安全保護(hù)工作目標(biāo)，從管理、技術(shù)和運(yùn)營等方面進(jìn)行規(guī)劃；3)核查網(wǎng)絡(luò)安全保護(hù)計(jì)劃的評估和修訂記錄，是否每年開展了網(wǎng)絡(luò)安全保護(hù)計(jì)劃的評估和修d)單元判定：如果13）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.6.2安全管理制度02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.6b）b)評估對象：網(wǎng)絡(luò)安全策略文件等。DB11/T2413—2025c)評估實(shí)施包括以下內(nèi)容：1)核查是否制定了網(wǎng)絡(luò)安全策略；2)核查網(wǎng)絡(luò)安全策略文件是否包括安全互聯(lián)策略、安全審計(jì)策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、自動(dòng)化機(jī)制策略、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等；3)核查是否定期對安全策略進(jìn)行評估和調(diào)整。d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.6.3安全管理制度03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.6c）b)評估對象：網(wǎng)絡(luò)安全管理制度文件等。c)評估實(shí)施包括以下內(nèi)容：1)核查是否在等級保護(hù)基礎(chǔ)上，制定了針對重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全管理制度；2)核查管理制度是否覆蓋風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)、網(wǎng)絡(luò)安全教育培訓(xùn)、業(yè)務(wù)連續(xù)性管理及容災(zāi)備份、三同步（安全措施同步規(guī)劃、同步建設(shè)和同步使用）和供應(yīng)鏈安全管理等方面。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.7安全管理機(jī)構(gòu)5.2.7.1安全組織機(jī)構(gòu)01a)評估指標(biāo)：見4.7a）b)評估對象：網(wǎng)絡(luò)安全組織架構(gòu)文件等。c)評估實(shí)施包括以下內(nèi)容：1)核查組織架構(gòu)文件或相關(guān)發(fā)文，是否成立指導(dǎo)和管理重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組；2)核查是否指定一名首席網(wǎng)絡(luò)安全官作為高層管理人員；3)核查首席網(wǎng)絡(luò)安全官的崗位職責(zé)，是否專職管理重要信息基礎(chǔ)設(shè)施安全保護(hù)工作，是否允許參與重要信息基礎(chǔ)設(shè)施重要事項(xiàng)決策。d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.7.2安全組織機(jī)構(gòu)02a)評估指標(biāo)：見4.7b）b)評估對象：部門職責(zé)文件或相關(guān)發(fā)文等。c)評估實(shí)施：核查部門職責(zé)文件或相關(guān)發(fā)文，是否明確重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全管理職能部d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.7.3安全組織機(jī)構(gòu)03a)評估指標(biāo)：見4.7c）DB11/T2413—2025b)評估對象：考核和問責(zé)制度、考核記錄和問責(zé)記錄等。c)評估實(shí)施包括以下內(nèi)容：1)核查考核和問責(zé)制度，是否明確網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)方面的內(nèi)容；2)核查考核記錄和問責(zé)記錄，是否依據(jù)考核和問責(zé)制度文件實(shí)施考核和問責(zé)。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.7.4安全組織機(jī)構(gòu)04a)評估指標(biāo)：見4.7d）b)評估對象：崗位職責(zé)文件或內(nèi)部正式文件等。c)評估實(shí)施：核查崗位職責(zé)文件或內(nèi)部正式文件，是否為每個(gè)重要信息基礎(chǔ)設(shè)施明確一名安全責(zé)任人,并明確其崗位職責(zé)。d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.7.5安全組織機(jī)構(gòu)05a)評估指標(biāo)：見4.7e）b)評估對象：項(xiàng)目管理制度、項(xiàng)目建設(shè)及實(shí)施文檔等。c)評估實(shí)施包括以下內(nèi)容：1)核查項(xiàng)目管理制度，是否要求安全管理責(zé)任人參與本組織重要信息基礎(chǔ)設(shè)施的信息化決2)核查項(xiàng)目建設(shè)及實(shí)施文檔，安全管理責(zé)任人是否在信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評審、項(xiàng)目驗(yàn)收等環(huán)節(jié)參與決策。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.8安全管理人員5.2.8.1安全管理人員01a)評估指標(biāo)：見4.8a）b)評估對象：人員安全管理文檔和人員背景審查記錄等。c)評估實(shí)施包括以下內(nèi)容：1)核查人員安全管理文檔，是否要求對重要信息基礎(chǔ)設(shè)施安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員在上崗前實(shí)施背景審查，包括：在履行崗位職責(zé)前；相關(guān)人員的身份、國籍、安全背景和家庭情況等發(fā)生變化時(shí)；崗位發(fā)生重大變化或其他必要情況下；2)核查是否具有背景審查記錄，記錄是否包括審查內(nèi)容和審查結(jié)果等。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.8.2安全管理人員02a)評估指標(biāo)：見4.8b）b)評估對象：網(wǎng)絡(luò)安全培訓(xùn)制度和網(wǎng)絡(luò)安全培訓(xùn)記錄等。c)評估實(shí)施包括以下內(nèi)容：DB11/T2413—20251)核查網(wǎng)絡(luò)安全培訓(xùn)制度，是否要求針對重要信息基礎(chǔ)設(shè)施相關(guān)人員提供安全意識教育和安全技能培訓(xùn)；2)核查網(wǎng)絡(luò)安全培訓(xùn)記錄文檔，相關(guān)人員的年度網(wǎng)絡(luò)安全培訓(xùn)時(shí)長是否不少于15個(gè)學(xué)時(shí)，在此基礎(chǔ)上，網(wǎng)絡(luò)安全崗位人員的專業(yè)技能年度培訓(xùn)時(shí)長是否不少于15個(gè)學(xué)時(shí)，其中是否包括數(shù)據(jù)安全相關(guān)培訓(xùn)。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.8.3安全管理人員03a)評估指標(biāo)：見4.8c）b)評估對象：安全保密制度和安全保密協(xié)議等。c)評估實(shí)施包括以下內(nèi)容：1)核查安全保密制度，是否明確重要信息基礎(chǔ)設(shè)施相關(guān)人員的安全保密職責(zé)和義務(wù)；2)核查安全保密協(xié)議，安全保密協(xié)議中是否約定安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.9供應(yīng)鏈安全5.2.9.1供應(yīng)鏈安全01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9a）b)評估對象：供應(yīng)鏈安全管理人員和供應(yīng)鏈安全管理策略相關(guān)文檔等。c)評估實(shí)施包括以下內(nèi)容：1)訪談供應(yīng)鏈安全管理人員，是否建立了供應(yīng)鏈安全管理策略；2)核查供應(yīng)鏈安全管理策略相關(guān)文檔，是否包含風(fēng)險(xiǎn)管理策略、供應(yīng)方選擇和管理策略、產(chǎn)品開發(fā)采購策略、安全維護(hù)策略等。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.2供應(yīng)鏈安全02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9b）b)評估對象：供應(yīng)鏈安全管理人員和供應(yīng)商安全管理制度等。c)評估實(shí)施包括以下內(nèi)容：1)訪談供應(yīng)鏈安全管理人員，是否建立了供應(yīng)鏈管理制度；2)核查供應(yīng)鏈管理制度，是否包含供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處置等方面的管理要求。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.3供應(yīng)鏈安全03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9c）DB11/T2413—2025b)評估對象：供應(yīng)鏈安全管理人員、采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單等。c)評估實(shí)施包括以下內(nèi)容：1)訪談供應(yīng)鏈安全管理人員，是否建立了年度采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單；2)核查年度采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單，所采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)是否符合國家及行業(yè)合規(guī)要求。d)單元判定：如果1）～2）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.4供應(yīng)鏈安全04該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9d）b)評估對象：軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理文檔、軟件供應(yīng)鏈產(chǎn)品風(fēng)險(xiǎn)評估記錄和安全風(fēng)險(xiǎn)事件響應(yīng)制度等。c)評估實(shí)施包括以下內(nèi)容：1)核查軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理文檔，是否包含軟件供應(yīng)鏈安全風(fēng)險(xiǎn)持續(xù)監(jiān)測、風(fēng)險(xiǎn)評估和事件響應(yīng)制度；2)核查軟件供應(yīng)鏈產(chǎn)品風(fēng)險(xiǎn)評估記錄，是否對軟件供應(yīng)鏈安全風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測和風(fēng)險(xiǎn)評估；3)核查安全風(fēng)險(xiǎn)事件響應(yīng)制度，是否明確了不同等級安全事件的報(bào)告、處置、響應(yīng)和流程機(jī)制，是否規(guī)定了安全事件的現(xiàn)場處置、事件報(bào)告和后期恢復(fù)等要求。d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.5供應(yīng)鏈安全05該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9e）b)評估對象：采購管理制度，網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購合同與合同模板等。c)評估實(shí)施包括以下內(nèi)容：1)核查采購管理制度，是否要求在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，在合同中明確提供者的安全責(zé)任和義務(wù)；2)核查現(xiàn)已簽訂的網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購合同與合同模板，是否明確了提供者的安全責(zé)任和義務(wù)，要求提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的設(shè)計(jì)、研發(fā)、生產(chǎn)和交付等關(guān)鍵環(huán)節(jié)加強(qiáng)安全管理，要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶的系統(tǒng)和設(shè)備，或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.6供應(yīng)鏈安全06該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9f）b)評估對象：供應(yīng)商安全管理制度、安全保密協(xié)議與安全協(xié)議模板等。c)評估實(shí)施包括以下內(nèi)容：1)核查供應(yīng)商安全管理制度，是否要求與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者簽訂安全保密協(xié)議；DB11/T2413—20252)核查安全保密協(xié)議與安全協(xié)議模板，是否包括安全職責(zé)、保密內(nèi)容、獎(jiǎng)懲機(jī)制和有效期等d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.7供應(yīng)鏈安全07該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9g）b)評估對象：安全管理員和云計(jì)算服務(wù)采購合同等。c)評估實(shí)施：1)訪談安全管理員，是否采購公有云服務(wù)；2)核查云計(jì)算服務(wù)采購合同，云服務(wù)商是否通過了國家云計(jì)算服務(wù)安全評估。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；1）為肯定的情況下，如果2）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.9.8供應(yīng)鏈安全08該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.9h）b)評估對象：供應(yīng)商安全管理制度和授權(quán)策略等。c)評估實(shí)施包括以下內(nèi)容：1)核查供應(yīng)商安全管理制度，是否建立嚴(yán)格的授權(quán)機(jī)制；2)核查授權(quán)策略，是否要求操作系統(tǒng)、數(shù)據(jù)庫等最高管理員權(quán)限應(yīng)由本單位人員專人負(fù)責(zé)，是否要求按照最小必要原則對外包單位人員進(jìn)行精細(xì)化授權(quán)，在授權(quán)期滿后是否及時(shí)收回權(quán)限。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10數(shù)據(jù)安全5.2.10.1數(shù)據(jù)安全01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10a）b)評估對象：數(shù)據(jù)安全管理責(zé)任文件、評價(jià)考核制度和數(shù)據(jù)安全保護(hù)計(jì)劃等相關(guān)文檔。c)評估實(shí)施包括以下內(nèi)容：1)核查數(shù)據(jù)安全管理責(zé)任文件，是否明確了數(shù)據(jù)安全管理責(zé)任人；2)核查數(shù)據(jù)安全評價(jià)考核制度，是否明確了數(shù)據(jù)安全相關(guān)考核評價(jià)內(nèi)容；3)核查數(shù)據(jù)安全保護(hù)計(jì)劃，是否明確了工作目標(biāo),管理和技術(shù)措施等。d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.2數(shù)據(jù)安全02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10b）b)評估對象：信息化項(xiàng)目關(guān)鍵環(huán)節(jié)的記錄表單等文檔。DB11/T2413—2025c)評估實(shí)施包括以下內(nèi)容：1)核查是否明確數(shù)據(jù)安全管理責(zé)任人參與本組織重要信息基礎(chǔ)設(shè)施的信息化決策；2)核查項(xiàng)目建設(shè)及實(shí)施文檔，數(shù)據(jù)安全管理責(zé)任人是否在信息化項(xiàng)目立項(xiàng)、方案設(shè)計(jì)、方案評審、項(xiàng)目驗(yàn)收等環(huán)節(jié)參與決策。d)單元判定：如果1）～2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。5.2.10.3數(shù)據(jù)安全03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10c）b)評估對象：數(shù)據(jù)分類分級相關(guān)文檔和數(shù)據(jù)資產(chǎn)目錄等。c)評估實(shí)施包括以下內(nèi)容：1)核查是否基于國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及業(yè)務(wù)需求制定數(shù)據(jù)分類分級相關(guān)制度；2)核查是否建立數(shù)據(jù)資產(chǎn)目錄。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.4數(shù)據(jù)安全04該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10d）b)評估對象：數(shù)據(jù)安全保護(hù)策略相關(guān)文件等。c)評估實(shí)施：核查是否根據(jù)數(shù)據(jù)分類分級方法制定數(shù)據(jù)安全保護(hù)策略，策略中是否明確了重要數(shù)據(jù)和個(gè)人信息在數(shù)據(jù)處理的關(guān)鍵環(huán)節(jié)中的安全保護(hù)要求。d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.5數(shù)據(jù)安全05該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10e）b)評估對象：數(shù)據(jù)庫表、數(shù)據(jù)文件、應(yīng)用系統(tǒng)、設(shè)計(jì)文檔和建設(shè)文檔等。c)評估實(shí)施：核查是否采取技術(shù)手段（如加密、脫敏、去標(biāo)識化等）保護(hù)個(gè)人敏感信息安全。d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.6數(shù)據(jù)安全06該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10f）b)評估對象：應(yīng)用系統(tǒng)等。c)評估實(shí)施：核查應(yīng)用系統(tǒng)，對于敏感數(shù)據(jù)是否采用數(shù)字水印等技術(shù)，以輔助追蹤數(shù)據(jù)泄露源d)單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。DB11/T2413—20255.2.10.7數(shù)據(jù)安全07該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10g）b)評估對象：數(shù)據(jù)安全管理制度和數(shù)據(jù)處置記錄表單類文檔。c)評估實(shí)施包括以下內(nèi)容：1)核查數(shù)據(jù)安全管理制度，是否針對重要信息基礎(chǔ)設(shè)施退役廢棄制定了數(shù)據(jù)處置策略；2)核查是否具有重要信息基礎(chǔ)設(shè)施退役廢棄時(shí)的數(shù)據(jù)處置記錄。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.8數(shù)據(jù)安全08該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10h）b)評估對象：數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告和數(shù)據(jù)安全整改記錄或方案等。c)評估實(shí)施包括以下內(nèi)容：1)核查是否具備數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告；2)核查數(shù)據(jù)安全整改記錄和方案等相關(guān)文檔，是否對未落實(shí)數(shù)據(jù)安全保護(hù)策略的情況及時(shí)整改。d)單元判定：如果1）為否定，本評估單元指標(biāo)為不符合；如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.10.9數(shù)據(jù)安全09該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.10i）b)評估對象：應(yīng)急預(yù)案、應(yīng)急演練記錄和報(bào)告等文檔。c)評估實(shí)施包括以下內(nèi)容：1)核查是否制定了數(shù)據(jù)安全事件應(yīng)急預(yù)案；2)核查是否有定期開展應(yīng)急演練的記錄和報(bào)告。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11安全運(yùn)營5.2.11.1資產(chǎn)識別01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.1a）b)評估對象：安全管理員、資產(chǎn)信息清單和資產(chǎn)管理系統(tǒng)等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否建立了重要信息基礎(chǔ)設(shè)施資產(chǎn)信息清單；2)核查資產(chǎn)信息清單或資產(chǎn)管理系統(tǒng)，資產(chǎn)是否覆蓋了評估對象涉及的物理設(shè)備、虛擬設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、業(yè)務(wù)系統(tǒng)等；3)核查資產(chǎn)信息清單或資產(chǎn)管理系統(tǒng)，資產(chǎn)信息是否至少包括資產(chǎn)名稱、資產(chǎn)類別、資產(chǎn)型號或版本、網(wǎng)絡(luò)地址、用途、數(shù)量、所處位置、資產(chǎn)責(zé)任人、資產(chǎn)防護(hù)優(yōu)先級等。DB11/T2413—2025d)單元判定：如果1）～3）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.2資產(chǎn)識別02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.1b）b)評估對象：安全管理員、資產(chǎn)信息清單和資產(chǎn)識別系統(tǒng)等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否采用資產(chǎn)探測等技術(shù)手段定期識別和更新資產(chǎn)清單；2)核查資產(chǎn)信息清單或資產(chǎn)識別系統(tǒng)，是否實(shí)現(xiàn)資產(chǎn)的動(dòng)態(tài)更新。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.3檢測評估01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2a）b)評估對象：安全管理員和安全管理制度文件等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否建立了重要信息基礎(chǔ)設(shè)施安全檢測評估制度或者相關(guān)要求；2)核查安全檢測評估制度，是否明確重要信息基礎(chǔ)設(shè)施安全檢查評估的工作流程、方式方法和周期等內(nèi)容。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.4檢測評估02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2b）b)評估對象：安全管理員、安全檢測評估報(bào)告和問題整改報(bào)告等。c)評估實(shí)施包括以下內(nèi)容：1)核查安全檢測評估報(bào)告，是否按年開展安全檢測評估工作；2)核查問題整改報(bào)告或者整改記錄文件，是否對檢測評估發(fā)現(xiàn)的問題制定了整改方案和整改計(jì)劃，并及時(shí)整改。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.5檢測評估03該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2c）b)評估對象：安全管理員、安全檢測評估報(bào)告、重要信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)相關(guān)文件、安全整改報(bào)告或者記錄文件等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，本單位重要信息基礎(chǔ)設(shè)施是否存在新建、改建和擴(kuò)建的情況；DB11/T2413—20252)核查新建、改建或者擴(kuò)建的重要信息基礎(chǔ)設(shè)施安全檢測評估報(bào)告和相關(guān)文件，查看其是否在上線前開展了檢測評估、安全整改；d)單元判定：如果1）為否定，本評估單元指標(biāo)為不適用；1）為肯定的情況下，如果2）為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.6檢測評估04該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2d）b)評估對象：安全管理員、攻防演練計(jì)劃和攻防演練報(bào)告等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，是否定期開展攻防演練工作，且保證至少每年一次；2)查看攻防演練計(jì)劃或者攻防演練報(bào)告，攻防演練的內(nèi)容是否包括對實(shí)際網(wǎng)絡(luò)攻擊的防護(hù)情況，以及防守方的應(yīng)急響應(yīng)能力。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.7檢測評估05該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2e）b)評估對象：網(wǎng)絡(luò)安全專題演練文件和安全培訓(xùn)記錄等。c)評估實(shí)施包括以下內(nèi)容：1)核查網(wǎng)絡(luò)安全演練文件，是否至少半年開展一次釣魚攻擊演練工作；2)核查安全培訓(xùn)記錄，是否對容易被社會工程學(xué)攻擊的部門和員工進(jìn)行了重點(diǎn)培訓(xùn)。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.8檢測評估06該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.2f）b)評估對象：安全管理員、安全風(fēng)險(xiǎn)檢測或者安全專項(xiàng)檢查工作報(bào)告、整改方案或者記錄等。c)評估實(shí)施包括以下內(nèi)容：1)訪談安全管理員，本單位是否配合安全主管部門的安全風(fēng)險(xiǎn)檢測和安全專項(xiàng)檢查工作；2)核查整改方案或者記錄，是否針對發(fā)現(xiàn)的安全隱患和風(fēng)險(xiǎn)建立了整改清單，并根據(jù)整改清單制定方案，并查看整改記錄是否按照要求實(shí)施了整改工作。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.9監(jiān)測預(yù)警01該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.3a）b)評估對象：安全管理員、安全制度類文檔和記錄表單類文檔等。c)評估實(shí)施包括以下內(nèi)容：DB11/T2413—20251)核查安全制度類文檔，是否建立監(jiān)測預(yù)警和信息通報(bào)制度，并且明確了分級別的信息報(bào)告和響應(yīng)處置程序；2)核查常態(tài)化監(jiān)測預(yù)警和快速應(yīng)急響應(yīng)執(zhí)行記錄文件，是否按照建立的機(jī)制開展相關(guān)工作。d)單元判定：如果1）～2）均為肯定，則符合本評估單元指標(biāo)要求，否則不符合本評估單元指標(biāo)要求。5.2.11.10監(jiān)測預(yù)警02該評估單元應(yīng)按如下要求展開評估：a)評估指標(biāo)：見4.11.3b）b)評估對象：安全管理員、安全制度類文檔和記錄表單類文檔等。c)評估實(shí)施包括以下內(nèi)容：1)訪