標(biāo)準(zhǔn)解讀

《T/ISEAA 001-2020 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》是針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中,對(duì)系統(tǒng)或網(wǎng)絡(luò)存在的高風(fēng)險(xiǎn)進(jìn)行評(píng)估與判斷的一份標(biāo)準(zhǔn)文件。該標(biāo)準(zhǔn)旨在為網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)提供一個(gè)統(tǒng)一的、可操作性強(qiáng)的風(fēng)險(xiǎn)評(píng)估方法,確保在不同場(chǎng)景下對(duì)于高風(fēng)險(xiǎn)項(xiàng)的識(shí)別和處理能夠保持一致性和準(zhǔn)確性。

根據(jù)這份標(biāo)準(zhǔn),高風(fēng)險(xiǎn)被定義為可能直接導(dǎo)致信息系統(tǒng)遭受嚴(yán)重?fù)p害(如數(shù)據(jù)泄露、服務(wù)中斷等)的安全漏洞或配置不當(dāng)情況。標(biāo)準(zhǔn)中詳細(xì)列舉了多種情況下應(yīng)如何判定是否存在高風(fēng)險(xiǎn),并提供了具體的案例分析來(lái)幫助理解實(shí)際應(yīng)用中的具體情形。例如,在身份認(rèn)證機(jī)制方面,如果發(fā)現(xiàn)存在弱口令或者密碼存儲(chǔ)方式不安全等問(wèn)題,則會(huì)被認(rèn)為構(gòu)成了高風(fēng)險(xiǎn);又比如,在訪問(wèn)控制策略上,如果沒(méi)有嚴(yán)格限制敏感信息的訪問(wèn)權(quán)限,同樣會(huì)被視為高風(fēng)險(xiǎn)因素之一。

此外,《T/ISEAA 001-2020》還特別強(qiáng)調(diào)了物理環(huán)境安全的重要性,指出數(shù)據(jù)中心等地如果沒(méi)有采取適當(dāng)措施防止未經(jīng)授權(quán)的人員進(jìn)入,也將被視為一種高風(fēng)險(xiǎn)狀況。同時(shí),標(biāo)準(zhǔn)也關(guān)注到了應(yīng)急響應(yīng)計(jì)劃的有效性,缺乏有效的備份恢復(fù)方案或是應(yīng)急預(yù)案不完備,都被明確指出可能會(huì)給組織帶來(lái)重大損失,因此也被歸類為高風(fēng)險(xiǎn)類別。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-11-05 頒布
  • 2020-12-01 實(shí)施
?正版授權(quán)
T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引_第1頁(yè)
T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引_第2頁(yè)
T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引_第3頁(yè)
T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引_第4頁(yè)
T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余35頁(yè)可下載查看

下載本文檔

T/ISEAA 001-2020網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

團(tuán)體標(biāo)準(zhǔn)

T/ISEAA001—2020

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引

Highriskassessmentguidelinesforclassifiedprotection

evaluationofcybersecurity

2020-11-05發(fā)布2020-12-01實(shí)施

中關(guān)村信息安全測(cè)評(píng)聯(lián)盟發(fā)布

T/ISEAA001—2020

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

概述

5………………………2

判例概述

5.1……………2

判定原則

5.2……………2

場(chǎng)景釋義

5.3……………3

高風(fēng)險(xiǎn)判例

6………………3

安全物理環(huán)境

6.1………………………3

安全通信網(wǎng)絡(luò)

6.2………………………4

安全區(qū)域邊界

6.3………………………7

安全計(jì)算環(huán)境

6.4………………………9

安全管理中心

6.5………………………18

安全管理制度和機(jī)構(gòu)

6.6………………19

安全管理人員

6.7………………………19

安全建設(shè)管理

6.8………………………20

安全運(yùn)維管理

6.9………………………21

附錄資料性附錄中第三級(jí)安全要求與本文件判例對(duì)應(yīng)關(guān)系

A()GB/T22239—2019……………24

附錄資料性附錄高風(fēng)險(xiǎn)判例整改建議

B()……………29

參考文獻(xiàn)

……………………35

T/ISEAA001—2020

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則給出的

GB/T1.1—2020《1:》

規(guī)則起草

。

本文件由中關(guān)村信息安全測(cè)評(píng)聯(lián)盟提出并歸口

。

本文件起草單位上海市信息安全測(cè)評(píng)認(rèn)證中心國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中

:、

心江蘇金盾檢測(cè)技術(shù)有限公司江蘇駿安信息測(cè)評(píng)認(rèn)證有限公司山東新潮信息技術(shù)有限公司合肥天

、、、、

帷信息安全技術(shù)有限公司深圳市網(wǎng)安計(jì)算機(jī)安全檢測(cè)技術(shù)有限公司杭州安信檢測(cè)技術(shù)有限公司成

、、、

都安美勤信息技術(shù)股份有限公司甘肅安信信息安全技術(shù)有限公司教育信息安全等級(jí)保護(hù)測(cè)評(píng)中心

、、、

遼寧浪潮創(chuàng)新信息技術(shù)有限公司銀行卡檢測(cè)中心安徽祥盾信息科技有限公司

、、。

本文件主要起草人金銘彥羅崢張笑笑劉靜徐御陳清明陸臻陳妍吳曉艷何欣峰許曉晨

:、、、、、、、、、、、

張杰武建雙牛建紅倪祥煥何志鵬嚴(yán)維兵王永琦范仲偉武斌楊凌珺盛璐禕

、、、、、、、、、、。

T/ISEAA001—2020

引言

等級(jí)保護(hù)測(cè)評(píng)是推動(dòng)和貫徹網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的重要環(huán)節(jié)之一為了更好地提升全國(guó)等級(jí)保

。

護(hù)測(cè)評(píng)機(jī)構(gòu)的能力規(guī)范測(cè)評(píng)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)嚴(yán)重程度的判定規(guī)則中關(guān)村信息安全測(cè)評(píng)聯(lián)盟組織

,,

編寫(xiě)本等級(jí)保護(hù)測(cè)評(píng)行業(yè)指引性文件旨在促進(jìn)安全風(fēng)險(xiǎn)判定更加標(biāo)準(zhǔn)化規(guī)范化從而更好地規(guī)范等

,、,

級(jí)保護(hù)測(cè)評(píng)活動(dòng)提升等級(jí)保護(hù)測(cè)評(píng)工作質(zhì)量

,。

本文件依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中第二級(jí)及以上安

GB/T22239—2019《》

全通用要求及云計(jì)算安全擴(kuò)展要求中的基本原則對(duì)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全性問(wèn)題如何進(jìn)行高風(fēng)險(xiǎn)判

,

定給出指引

。

本文件僅考慮一般系統(tǒng)場(chǎng)景無(wú)法涵蓋所有行業(yè)及特殊場(chǎng)景實(shí)際測(cè)評(píng)活動(dòng)中應(yīng)根據(jù)安全問(wèn)題所處

,,

的環(huán)境面臨的威脅已采取的措施并結(jié)合本文件內(nèi)容做出客觀科學(xué)合理的判定

、、,、、。

T/ISEAA001—2020

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引

1范圍

本文件適用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)安全檢查等活動(dòng)

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

計(jì)算機(jī)場(chǎng)地通用規(guī)范

GB/T2887—2011

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB17859—1999

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22239—2019

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T28448—2019

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

3術(shù)語(yǔ)和定義

和界定的以及下列

GB17859—1999、GB/T25069—2010、GB/T31168—2014GB/T22239—2019

術(shù)語(yǔ)和定義適用于本文件

。

31

.

高可用性系統(tǒng)

可用性大于或等于年度停機(jī)時(shí)間小于或等于的系統(tǒng)例如銀行證券非銀行支付

99.9%,8.8h,,、、

機(jī)構(gòu)互聯(lián)網(wǎng)金融等交易類系統(tǒng)提供公共服務(wù)的民生類系統(tǒng)工業(yè)控制類系統(tǒng)云計(jì)算平臺(tái)等

、,,,。

32

.

關(guān)鍵網(wǎng)絡(luò)設(shè)備

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論