標準解讀

《T/ISEAA 001-2020 網絡安全等級保護測評高風險判定指引》是針對網絡安全等級保護工作中,對系統或網絡存在的高風險進行評估與判斷的一份標準文件。該標準旨在為網絡安全等級保護測評機構提供一個統一的、可操作性強的風險評估方法,確保在不同場景下對于高風險項的識別和處理能夠保持一致性和準確性。

根據這份標準,高風險被定義為可能直接導致信息系統遭受嚴重損害(如數據泄露、服務中斷等)的安全漏洞或配置不當情況。標準中詳細列舉了多種情況下應如何判定是否存在高風險,并提供了具體的案例分析來幫助理解實際應用中的具體情形。例如,在身份認證機制方面,如果發現存在弱口令或者密碼存儲方式不安全等問題,則會被認為構成了高風險;又比如,在訪問控制策略上,如果沒有嚴格限制敏感信息的訪問權限,同樣會被視為高風險因素之一。

此外,《T/ISEAA 001-2020》還特別強調了物理環境安全的重要性,指出數據中心等地如果沒有采取適當措施防止未經授權的人員進入,也將被視為一種高風險狀況。同時,標準也關注到了應急響應計劃的有效性,缺乏有效的備份恢復方案或是應急預案不完備,都被明確指出可能會給組織帶來重大損失,因此也被歸類為高風險類別。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2020-11-05 頒布
  • 2020-12-01 實施
?正版授權
T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引_第1頁
T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引_第2頁
T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引_第3頁
T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引_第4頁
T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引_第5頁
免費預覽已結束,剩余35頁可下載查看

下載本文檔

T/ISEAA 001-2020網絡安全等級保護測評高風險判定指引-免費下載試讀頁

文檔簡介

ICS35040

L80.

團體標準

T/ISEAA001—2020

網絡安全等級保護測評高風險判定指引

Highriskassessmentguidelinesforclassifiedprotection

evaluationofcybersecurity

2020-11-05發布2020-12-01實施

中關村信息安全測評聯盟發布

T/ISEAA001—2020

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

概述

5………………………2

判例概述

5.1……………2

判定原則

5.2……………2

場景釋義

5.3……………3

高風險判例

6………………3

安全物理環境

6.1………………………3

安全通信網絡

6.2………………………4

安全區域邊界

6.3………………………7

安全計算環境

6.4………………………9

安全管理中心

6.5………………………18

安全管理制度和機構

6.6………………19

安全管理人員

6.7………………………19

安全建設管理

6.8………………………20

安全運維管理

6.9………………………21

附錄資料性附錄中第三級安全要求與本文件判例對應關系

A()GB/T22239—2019……………24

附錄資料性附錄高風險判例整改建議

B()……………29

參考文獻

……………………35

T/ISEAA001—2020

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則給出的

GB/T1.1—2020《1:》

規則起草

。

本文件由中關村信息安全測評聯盟提出并歸口

本文件起草單位上海市信息安全測評認證中心國家網絡與信息系統安全產品質量監督檢驗中

:、

心江蘇金盾檢測技術有限公司江蘇駿安信息測評認證有限公司山東新潮信息技術有限公司合肥天

、、、、

帷信息安全技術有限公司深圳市網安計算機安全檢測技術有限公司杭州安信檢測技術有限公司成

、、、

都安美勤信息技術股份有限公司甘肅安信信息安全技術有限公司教育信息安全等級保護測評中心

、、、

遼寧浪潮創新信息技術有限公司銀行卡檢測中心安徽祥盾信息科技有限公司

、、。

本文件主要起草人金銘彥羅崢張笑笑劉靜徐御陳清明陸臻陳妍吳曉艷何欣峰許曉晨

:、、、、、、、、、、、

張杰武建雙牛建紅倪祥煥何志鵬嚴維兵王永琦范仲偉武斌楊凌珺盛璐禕

、、、、、、、、、、。

T/ISEAA001—2020

引言

等級保護測評是推動和貫徹網絡安全等級保護工作的重要環節之一為了更好地提升全國等級保

護測評機構的能力規范測評機構對網絡安全風險嚴重程度的判定規則中關村信息安全測評聯盟組織

,,

編寫本等級保護測評行業指引性文件旨在促進安全風險判定更加標準化規范化從而更好地規范等

,、,

級保護測評活動提升等級保護測評工作質量

,。

本文件依據信息安全技術網絡安全等級保護基本要求中第二級及以上安

GB/T22239—2019《》

全通用要求及云計算安全擴展要求中的基本原則對測評過程中發現的安全性問題如何進行高風險判

,

定給出指引

本文件僅考慮一般系統場景無法涵蓋所有行業及特殊場景實際測評活動中應根據安全問題所處

,,

的環境面臨的威脅已采取的措施并結合本文件內容做出客觀科學合理的判定

、、,、、。

T/ISEAA001—2020

網絡安全等級保護測評高風險判定指引

1范圍

本文件適用于網絡安全等級保護測評安全檢查等活動

、。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

計算機場地通用規范

GB/T2887—2011

計算機信息系統安全保護等級劃分準則

GB17859—1999

信息安全技術術語

GB/T25069—2010

信息安全技術網絡安全等級保護基本要求

GB/T22239—2019

信息安全技術網絡安全等級保護測評要求

GB/T28448—2019

信息安全技術云計算服務安全能力要求

GB/T31168—2014

信息安全技術個人信息安全規范

GB/T35273—2020

3術語和定義

和界定的以及下列

GB17859—1999、GB/T25069—2010、GB/T31168—2014GB/T22239—2019

術語和定義適用于本文件

。

31

.

高可用性系統

可用性大于或等于年度停機時間小于或等于的系統例如銀行證券非銀行支付

99.9%,8.8h,,、、

機構互聯網金融等交易類系統提供公共服務的民生類系統工業控制類系統云計算平臺等

、,,,。

32

.

關鍵網絡設備

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍底稚唐返奶厥庑裕唤浭鄢?,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論