ICS35030

CCSL.80

團體標準

T/CIQA39—2022

檢驗檢測機構網絡安全工作指南

Guidelinesoncybersecurityofinspectionandtestinginstitutions

2022-07-08發布2022-09-01實施

中國出入境檢驗檢疫協會發布

T/CIQA39—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

網絡安全工作方法

5………………………3

概述

5.1…………………3

網絡安全工作方法在檢驗檢測機構的應用

5.2………3

網絡安全工作任務

6………………………6

通則

6.1…………………6

網絡安全等級保護

6.2…………………6

商用密碼應用安全性評估

6.3…………7

個人信息合規審計

6.4…………………8

網絡安全審查

6.5………………………8

關鍵信息基礎設施安全風險評估

6.6…………………9

業務連續性管理體系認證

6.7(BCMS)………………9

信息安全管理體系認證

6.8(ISMS)…………………10

隱私管理體系認證

6.9(PIMS)………………………10

數據安全管理認證

6.10………………10

附錄資料性網絡安全法定義務識別指南

A()…………12

參考文獻

……………………16

Ⅰ

T/CIQA39—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由中國出入境檢驗檢疫協會檢驗鑒定標準化技術委員會提出并歸口

(CIQA/TC1)。

本文件起草單位北京時代新威信息技術有限公司華測檢測認證集團股份有限公司中理檢驗有

:、、

限公司青島海檢集團有限公司力鴻檢驗集團有限公司嘉德信大連檢驗測試科技有限公司中國檢

、、、()、

驗認證集團上海有限公司中國電子科技集團公司第十五研究所信息產業信息安全測評中心中國出

、()、

入境檢驗檢疫協會進出口商品檢驗鑒定機構分會

。

本文件主要起草人王新杰王連強楊玉忠俞政臣杜云浩王亞濤譚新星王勛龍費楊潔

:、、、、、、、、、

童連松楊毅劉健張琳

、、、。

Ⅲ

T/CIQA39—2022

引言

網絡安全風險是檢驗檢測機構在開展檢驗檢測認證等業務過程中的重大風險之一如果不能有

、、。

效地管理和控制網絡安全風險將導致檢驗檢測機構的數據泄露業務中斷客戶投訴等重大損失甚至

,、、,

還會帶來法律責任受到民事或刑事處罰

,。

選擇正確的網絡安全工作方法是檢驗檢測機構做好網絡安全工作的基礎本文件第章提出了

,。5

檢驗檢測機構網絡安全工作方法的建議為檢驗檢測機構提供參考這個方法包括建立網絡安全工作

,。

的目標識別和確定網絡安全要保護的對象開展網絡安全風險評估以及根據風險評估結果選擇和建

,,,

設網絡安全控制措施

。

履行網絡安全的法律責任和法定義務是檢驗檢測機構網絡安全工作的重要內容截至目前我國

,。,

已經頒布實施的網絡安全法律法規包括中華人民共和國網絡安全法中華人民共和國密碼法中華

《》《》《

人民共和國數據安全法中華人民共和國個人信息保護法網絡安全審查辦法和關鍵信息基礎設施

》《》《》《

安全保護條例等

》。

本文件第章從檢驗檢測機構應承擔的網絡安全法律責任入手提出了檢驗檢測機構應該開展的

6,

具體網絡安全工作如網絡安全等級保護商用密碼應用安全性評估數據安全保護個人信息保護網

,、、、、

絡安全審查和關鍵信息基礎設施保護等并提出了開展這些工作內容的具體方法和步驟為檢驗檢測機

,,

構提供參考

。

網絡安全是一項專業性很強的工作并非所有的組織都具有滿足其網絡安全工作要求的網絡安全

,

能力具有一定網絡安全專業能力的檢驗檢測機構可以通過自身力量開展和落實上述具體網絡安全

。,

工作網絡安全專業能力不足的檢驗檢測機構可以通過采購專業網絡安全服務的方式來實現其網絡

。,

安全目標履行其網絡安全責任

,。

Ⅳ

T/CIQA39—2022

檢驗檢測機構網絡安全工作指南

1范圍

本文件提供了檢驗檢測機構開展網絡安全工作的指南描述了檢驗檢測機構開展網絡安全工作的

,

方法規定了檢驗檢測機構必須開展和選擇開展的網絡安全工作任務

,。

本文件適用于任何類型任何規模的檢驗檢測機構的網絡安全工作

、。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術信息安全風險評估規范

GB/T20984

信息技術安全技術信息安全管理體系要求

GB/T22080

信息技術安全技術信息安全控制實踐指南

GB/T22081

信息安全技術網絡安全等級保護基本要求

GB/T22239

信息安全技術網絡安全等級保護定級指南

GB/T22240

公共安全業務連續性管理體系要求

GB/T30146

公共安全業務連續性管理體系指南

GB/T31595

信息安全技術個人信息安全規范

GB/T35273

信息安全技術信息系統密碼應用基本要求

GB/T39786

ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002for

privacyinformationmanagement—Requirementsandguidelines

3術語和定義

下列術語和定義適用于本文件