DB64-T 2118-2025 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范

64NetworksecurityandnetworkdatasecurityriskassessmentspeI 2 2 2 2 3 5 6 7 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。1網(wǎng)絡(luò)安全和網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估規(guī)范GB/T25069—2022信息安全技術(shù)術(shù)語GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概GB50174—2017、GB/T25069—2022、GB/T29246—3.13.23.33.43.523.63.7讓不同的數(shù)據(jù)用戶能夠訪問大數(shù)據(jù)服務(wù)所整合的各種數(shù)據(jù)資源，并通過大數(shù)據(jù)服務(wù)或數(shù)據(jù)交換技3.84基本要求4.1評估人員在評估過程中應(yīng)當(dāng)充分收集證據(jù)，對評估對象實(shí)施的安全措施的有效性和可靠性做出客4.2在評估實(shí)施工程過中，應(yīng)不干擾、破壞網(wǎng)絡(luò)主體運(yùn)營者的業(yè)務(wù)連續(xù)性。5.2主體評估主體包含網(wǎng)絡(luò)安全監(jiān)管部門、行業(yè)主管部門、第三方評估機(jī)構(gòu)以及各網(wǎng)絡(luò)數(shù)據(jù)運(yùn)營單5.3對象本文件用于評估主體對網(wǎng)絡(luò)主體運(yùn)營者開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評估包含網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)安全兩大部分，網(wǎng)絡(luò)安全評估內(nèi)容按照附錄A.1的要求，網(wǎng)絡(luò)數(shù)3證據(jù)判斷法由網(wǎng)絡(luò)主體運(yùn)營者提供與網(wǎng)絡(luò)安全相關(guān)的文檔材料(如網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)機(jī)構(gòu)、應(yīng)急預(yù)施方案、配置說明、運(yùn)行記錄和其他配套表單a)工具測試：利用技術(shù)工具和人工方式對系統(tǒng)進(jìn)行測試,驗(yàn)證是否符合評估內(nèi)容的技術(shù)保障b)配置評估：根據(jù)網(wǎng)絡(luò)主體運(yùn)營者提供的技術(shù)材料,登錄相關(guān)的系統(tǒng)工具平臺(tái),評估配置是否與評估、形成評估報(bào)告等內(nèi)容，實(shí)施風(fēng)險(xiǎn)評估包括管理評估、技術(shù)評估兩部分，具體流程見圖4風(fēng)險(xiǎn)評估開始準(zhǔn)備階段實(shí)施階段整改階段總結(jié)階段成立風(fēng)險(xiǎn)評估組準(zhǔn)備階段實(shí)施階段整改階段總結(jié)階段證據(jù)判斷法證據(jù)判斷法是是否存在高風(fēng)險(xiǎn)項(xiàng)高風(fēng)險(xiǎn)項(xiàng)問題解決是否需要整改是是否存在高風(fēng)險(xiǎn)項(xiàng)高風(fēng)險(xiǎn)項(xiàng)問題解決否否整改其余風(fēng)險(xiǎn)否是否整改完成是形成總結(jié)報(bào)告風(fēng)險(xiǎn)評估結(jié)果歸檔），8.2.2風(fēng)險(xiǎn)評估發(fā)起單位負(fù)責(zé)編制風(fēng)險(xiǎn)評估工作方案，工作方案內(nèi)容包括確定網(wǎng)絡(luò)主體運(yùn)營者、確認(rèn)8.2.3風(fēng)險(xiǎn)評估組事先應(yīng)向網(wǎng)絡(luò)主體運(yùn)營者告知相關(guān)風(fēng)險(xiǎn)評估事項(xiàng)，包括但不限于風(fēng)險(xiǎn)評估時(shí)間、風(fēng)5輸出風(fēng)險(xiǎn)評估記錄表，并依據(jù)9.1、9.8.3.3三級指標(biāo)原則上必須應(yīng)滿足高風(fēng)險(xiǎn)項(xiàng)，涉及重要網(wǎng)絡(luò)及網(wǎng)絡(luò)數(shù)據(jù)的原則上應(yīng)在符合基本要求的8.4整改階段8.4.1風(fēng)險(xiǎn)評估記錄表中未達(dá)到5分的三級8.4.2若風(fēng)險(xiǎn)評估結(jié)果為低風(fēng)險(xiǎn)、較低風(fēng)險(xiǎn)或中風(fēng)險(xiǎn)，網(wǎng)絡(luò)主體運(yùn)營者可自行開展整改工作；若風(fēng)險(xiǎn)評估結(jié)果為高風(fēng)險(xiǎn)，網(wǎng)絡(luò)主體運(yùn)營者須按照8.4.3風(fēng)險(xiǎn)評估組根據(jù)風(fēng)險(xiǎn)評估記錄表，核實(shí)整改情況，并進(jìn)行復(fù)測，確保風(fēng)險(xiǎn)評估結(jié)果達(dá)到中風(fēng)險(xiǎn)8.5.2風(fēng)險(xiǎn)評估組對評估過程中收集的資料，包含風(fēng)險(xiǎn)評估工作方案、風(fēng)險(xiǎn)評估記錄表、風(fēng)險(xiǎn)評估報(bào)8.5.3被評估的網(wǎng)絡(luò)主體運(yùn)營者需留存全量評估材料，包括風(fēng)險(xiǎn)評估記錄表、風(fēng)險(xiǎn)評估報(bào)告（見附錄B）、整改報(bào)告、復(fù)測報(bào)告、風(fēng)險(xiǎn)評估總結(jié)報(bào)告，按規(guī)定立9評估結(jié)果b)若被抽取的同類型設(shè)備的其中一臺(tái)出現(xiàn)與預(yù)期結(jié)果完全不一致的情況，則該三級指標(biāo)得分結(jié)9.2整體結(jié)果計(jì)算69.3評估等級評估整體得分達(dá)到80分（含）以上不足90分的風(fēng)險(xiǎn)評估結(jié)果為較低9.4.2委托第三方網(wǎng)絡(luò)數(shù)據(jù)安全服務(wù)機(jī)構(gòu)提供技術(shù)支持的，技術(shù)支持人員應(yīng)當(dāng)一并在風(fēng)險(xiǎn)評估記錄表），對于評估過程中發(fā)現(xiàn)的安全隱患，被評估單位或自查單位應(yīng)及時(shí)采取改進(jìn)措施消除風(fēng)險(xiǎn)隱7A.1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估記錄表見表A.序號1全主體責(zé)任落實(shí)情況網(wǎng)絡(luò)安全工作的機(jī)12是否任命網(wǎng)絡(luò)安全主要責(zé)任人、直接責(zé)任13是否通過正式印發(fā)文件明確網(wǎng)絡(luò)安全工作1415是否設(shè)置負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的機(jī)構(gòu)或16安全制度1789是否指定或授權(quán)專門的部門或人員負(fù)責(zé)安1和人員設(shè)置網(wǎng)絡(luò)安全責(zé)任部門是否明確具體的崗位分118序號是否制定滿足業(yè)務(wù)發(fā)展和信息安全管理需11是否有獨(dú)立的內(nèi)部審計(jì)或其他部門負(fù)責(zé)網(wǎng)1111是否定期對網(wǎng)絡(luò)安全專職人員進(jìn)行專項(xiàng)技是否建立外部人員訪問機(jī)房等重要區(qū)域?qū)?是否與獲得系統(tǒng)訪問授權(quán)的外部人員簽訂1119序號是否要求外包軟件開發(fā)機(jī)構(gòu)提供軟件源代是否要求外包軟件開發(fā)機(jī)構(gòu)提供軟件設(shè)計(jì)外包軟件開發(fā)機(jī)構(gòu)是否發(fā)生過供應(yīng)鏈安全序號11信息資產(chǎn)是否均按照統(tǒng)一標(biāo)準(zhǔn)張貼資產(chǎn)標(biāo)是否有網(wǎng)絡(luò)和設(shè)備定期維護(hù)記錄、巡檢記是否對變更性的運(yùn)維行為進(jìn)行嚴(yán)格的審批是否確保所有內(nèi)部與外部的連接均得到授是否有專職人員對安全邊界防護(hù)設(shè)備日志序號評是否定期開展重要信息系統(tǒng)的網(wǎng)絡(luò)安全等11是否針對評估得出的風(fēng)險(xiǎn)制定合理的處置理是否對備份系統(tǒng)和備份數(shù)據(jù)進(jìn)行過恢復(fù)測是否根據(jù)業(yè)務(wù)特點(diǎn)，梳理網(wǎng)絡(luò)安全事件列1序號是否定期對系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培1重要業(yè)務(wù)部門使用的公共或自用郵箱1力1是否繪制與當(dāng)前網(wǎng)絡(luò)架構(gòu)相符的網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)邊界處是否部署防火墻設(shè)備進(jìn)行數(shù)據(jù)1網(wǎng)絡(luò)是否能夠?qū)Ψ欠▋?nèi)外連的行為進(jìn)行檢力網(wǎng)絡(luò)各區(qū)域邊界之間是否部署訪問控制設(shè)網(wǎng)絡(luò)訪問控制規(guī)則是否保證最小化訪問原網(wǎng)絡(luò)訪問控制策略是否默認(rèn)除允許通信外網(wǎng)絡(luò)是否能夠檢測或限制內(nèi)部或外部發(fā)起序號力1審計(jì)記錄是否包括事件的日期和時(shí)間、用111力1力施1設(shè)備是否具備口令復(fù)雜度鑒別機(jī)制和口令設(shè)備是否具備登錄失敗處理功能和登錄超1施施1審計(jì)記錄是否包括事件的日期和時(shí)間、用111序號施1設(shè)備是否具備口令復(fù)雜度鑒別機(jī)制和口令是否具備登錄失敗處理功能和登錄超時(shí)自1施施1審計(jì)記錄是否包括事件的日期和時(shí)間、用111力A.2網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估記錄表見表A.序號1全123415161718是否按照數(shù)據(jù)分類分級的要求建立相應(yīng)的序號9全是否制定面向終端的網(wǎng)絡(luò)數(shù)據(jù)安全管理規(guī)11是否采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)是否明確對內(nèi)部各類數(shù)據(jù)訪問和操作的日1是否采用自動(dòng)和人工審計(jì)相結(jié)合的方式對11序號111是否具備存儲(chǔ)媒介訪問和使用的安全管理1據(jù)使用聲明的目的和范圍內(nèi)對受保護(hù)的信是否采用技術(shù)手段記錄和管理數(shù)據(jù)使用操1序號導(dǎo)入導(dǎo)出是否建立數(shù)據(jù)導(dǎo)入導(dǎo)出安全制度或?qū)徟?用于數(shù)據(jù)導(dǎo)入導(dǎo)出的存儲(chǔ)媒介是否具備存是否指定專人負(fù)責(zé)管理核心業(yè)務(wù)系統(tǒng)的用是否制定核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫的身份鑒1是否對業(yè)務(wù)系統(tǒng)登錄的用戶進(jìn)行身份標(biāo)識(shí)1是否采用兩種或兩種以上組合的鑒別技術(shù)全1是否在對外部組織展示重要數(shù)據(jù)和敏感信序號是否建立數(shù)據(jù)分析相關(guān)數(shù)據(jù)源獲取規(guī)范和1是否建立數(shù)據(jù)分析結(jié)果輸出的安全審查機(jī)1111是否具備對傳輸通道兩端進(jìn)行主體身份鑒11序號1是否明確數(shù)據(jù)供應(yīng)鏈上下游保護(hù)的義務(wù)和供應(yīng)鏈安全是否對數(shù)據(jù)供應(yīng)鏈上下游的行為進(jìn)行合規(guī)1是否采取發(fā)布數(shù)據(jù)使用合規(guī)性保護(hù)的技術(shù)1使用服務(wù)接口的安全限制和安全控制措施是否具備對接口不安全輸入?yún)?shù)進(jìn)行限制11序號11是否按照分類分級建立相應(yīng)的數(shù)據(jù)銷毀機(jī)是否采用技術(shù)工具擦除銷毀核心業(yè)務(wù)存儲(chǔ)1單位蓋章：負(fù)責(zé)人簽字：