64NetworksecurityandnetworkdatasecurityriskassessmentspeI 2 2 2 2 3 5 6 7 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。1網絡安全和網絡數據安全風險評估規范GB/T25069—2022信息安全技術術語GB/T29246—2017信息技術安全技術信息安全管理體系概GB50174—2017、GB/T25069—2022、GB/T29246—3.13.23.33.43.523.63.7讓不同的數據用戶能夠訪問大數據服務所整合的各種數據資源，并通過大數據服務或數據交換技3.84基本要求4.1評估人員在評估過程中應當充分收集證據，對評估對象實施的安全措施的有效性和可靠性做出客4.2在評估實施工程過中，應不干擾、破壞網絡主體運營者的業務連續性。5.2主體評估主體包含網絡安全監管部門、行業主管部門、第三方評估機構以及各網絡數據運營單5.3對象本文件用于評估主體對網絡主體運營者開展網絡風險評估包含網絡安全、網絡數據安全兩大部分，網絡安全評估內容按照附錄A.1的要求，網絡數3證據判斷法由網絡主體運營者提供與網絡安全相關的文檔材料(如網絡安全工作領導機構、應急預施方案、配置說明、運行記錄和其他配套表單a)工具測試：利用技術工具和人工方式對系統進行測試,驗證是否符合評估內容的技術保障b)配置評估：根據網絡主體運營者提供的技術材料,登錄相關的系統工具平臺,評估配置是否與評估、形成評估報告等內容，實施風險評估包括管理評估、技術評估兩部分，具體流程見圖4風險評估開始準備階段實施階段整改階段總結階段成立風險評估組準備階段實施階段整改階段總結階段證據判斷法證據判斷法是是否存在高風險項高風險項問題解決是否需要整改是是否存在高風險項高風險項問題解決否否整改其余風險否是否整改完成是形成總結報告風險評估結果歸檔），8.2.2風險評估發起單位負責編制風險評估工作方案，工作方案內容包括確定網絡主體運營者、確認8.2.3風險評估組事先應向網絡主體運營者告知相關風險評估事項，包括但不限于風險評估時間、風5輸出風險評估記錄表，并依據9.1、9.8.3.3三級指標原則上必須應滿足高風險項，涉及重要網絡及網絡數據的原則上應在符合基本要求的8.4整改階段8.4.1風險評估記錄表中未達到5分的三級8.4.2若風險評估結果為低風險、較低風險或中風險，網絡主體運營者可自行開展整改工作；若風險評估結果為高風險，網絡主體運營者須按照8.4.3風險評估組根據風險評估記錄表，核實整改情況，并進行復測，確保風險評估結果達到中風險8.5.2風險評估組對評估過程中收集的資料，包含風險評估工作方案、風險評估記錄表、風險評估報8.5.3被評估的網絡主體運營者需留存全量評估材料，包括風險評估記錄表、風險評估報告（見附錄B）、整改報告、復測報告、風險評估總結報告，按規定立9評估結果b)若被抽取的同類型設備的其中一臺出現與預期結果完全不一致的情況，則該三級指標得分結9.2整體結果計算69.3評估等級評估整體得分達到80分（含）以上不足90分的風險評估結果為較低9.4.2委托第三方網絡數據安全服務機構提供技術支持的，技術支持人員應當一并在風險評估記錄表），對于評估過程中發現的安全隱患，被評估單位或自查單位應及時采取改進措施消除風險隱7A.1網絡安全風險評估記錄表見表A.序號1全主體責任落實情況網絡安全工作的機12是否任命網絡安全主要責任人、直接責任13是否通過正式印發文件明確網絡安全工作1415是否設置負責網絡安全管理工作的機構或16安全制度1789是否指定或授權專門的部門或人員負責安1和人員設置網絡安全責任部門是否明確具體的崗位分118序號是否制定滿足業務發展和信息安全管理需11是否有獨立的內部審計或其他部門負責網1111是否定期對網絡安全專職人員進行專項技是否建立外部人員訪問機房等重要區域審1是否與獲得系統訪問授權的外部人員簽訂1119序號是否要求外包軟件開發機構提供軟件源代是否要求外包軟件開發機構提供軟件設計外包軟件開發機構是否發生過供應鏈安全序號11信息資產是否均按照統一標準張貼資產標是否有網絡和設備定期維護記錄、巡檢記是否對變更性的運維行為進行嚴格的審批是否確保所有內部與外部的連接均得到授是否有專職人員對安全邊界防護設備日志序號評是否定期開展重要信息系統的網絡安全等11是否針對評估得出的風險制定合理的處置理是否對備份系統和備份數據進行過恢復測是否根據業務特點，梳理網絡安全事件列1序號是否定期對系統相關人員進行應急預案培1重要業務部門使用的公共或自用郵箱1力1是否繪制與當前網絡架構相符的網絡拓撲1網絡邊界處是否部署防火墻設備進行數據1網絡是否能夠對非法內外連的行為進行檢力網絡各區域邊界之間是否部署訪問控制設網絡訪問控制規則是否保證最小化訪問原網絡訪問控制策略是否默認除允許通信外網絡是否能夠檢測或限制內部或外部發起序號力1審計記錄是否包括事件的日期和時間、用111力1力施1設備是否具備口令復雜度鑒別機制和口令設備是否具備登錄失敗處理功能和登錄超1施施1審計記錄是否包括事件的日期和時間、用111序號施1設備是否具備口令復雜度鑒別機制和口令是否具備登錄失敗處理功能和登錄超時自1施施1審計記錄是否包括事件的日期和時間、用111力A.2網絡數據安全風險評估記錄表見表A.序號1全123415161718是否按照數據分類分級的要求建立相應的序號9全是否制定面向終端的網絡數據安全管理規11是否采用校驗技術或密碼技術保證重要數是否明確對內部各類數據訪問和操作的日1是否采用自動和人工審計相結合的方式對11序號111是否具備存儲媒介訪問和使用的安全管理1據使用聲明的目的和范圍內對受保護的信是否采用技術手段記錄和管理數據使用操1序號導入導出是否建立數據導入導出安全制度或審批流1用于數據導入導出的存儲媒介是否具備存是否指定專人負責管理核心業務系統的用是否制定核心業務系統和數據庫的身份鑒1是否對業務系統登錄的用戶進行身份標識1是否采用兩種或兩種以上組合的鑒別技術全1是否在對外部組織展示重要數據和敏感信序號是否建立數據分析相關數據源獲取規范和1是否建立數據分析結果輸出的安全審查機1111是否具備對傳輸通道兩端進行主體身份鑒11序號1是否明確數據供應鏈上下游保護的義務和供應鏈安全是否對數據供應鏈上下游的行為進行合規1是否采取發布數據使用合規性保護的技術1使用服務接口的安全限制和安全控制措施是否具備對接口不安全輸入參數進行限制11序號11是否按照分類分級建立相應的數據銷毀機是否采用技術工具擦除銷毀核心業務存儲1單位蓋章：負責人簽字：