DB65∕T 4439-2021 网络安全检查技术规范(新疆维吾尔自治区).pdf
《DB65∕T 4439-2021 网络安全检查技术规范(新疆维吾尔自治区).pdf》由会员分享,可在线阅读,更多相关《DB65∕T 4439-2021 网络安全检查技术规范(新疆维吾尔自治区).pdf(18页珍藏版)》请在咨信网上搜索。
1、ICS 35.040 CCS L 80 日065新疆维吾尔自 J口区地方标准。B65/丁4439-2021网络安全检查技术规范Inspection technical specification for cybersecurity 20210917发布2021 -11 -01实施新疆维吾尔自治区市场监督管理局发布DB 65/T 4439-2021 目次口1ji-1222233435nbnbJ788999001122222333查检H否一况UHHHuu金青HHHHH查HUHHHH刷刷如随随附情落杳一HH查实护检查查查查查在二甜甜哺H检落果况检检检检检tun-juHH王-H员HH附脱销刷刷刷刷刷制
2、附附绵阳中1酣恤的阻中中查级础安护构障理全剧幢幢她抬恨倾她随轨制查平项果患施告检等基务保架果管安管检务专结隐措报划程备施析全全息服全织如全务产献脱脱阴暗阳城耀帕惋恤金服统改查题改结用义流准实午,J安安中一一口算安组经安服j安算系整检问整总引定作查查查络络销计据全全员包息金全络线端动份测急涧木络计控结总析先写性和语工检检检网网关云数安安人外优安安网无终移备监应漏技网云工总汇分研编围范语略查123用123456789叩门山UM阴阳口阻四川项12查12范规术缩检丘丘瓦迪队队队tap队队队也队队队队队队队aaaa专11检怠。队。仇。也AmH1i9quA峰AFhdpO叮iQUI DB 65/T 4439
3、一2021参考文献.14II DB 65fT 4439-2021 自IJ昌本文件按照GB/T1.1-2020 (标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由新疆维吾尔自治区互联网信息办公室提出、归口并组织实施。本文件起草单位:新疆维吾尔自治区互联网信息办公室、新疆大学、新疆维吾尔自治区产品质量监督检验研究院、中国互联网络信息中心。本文件主要起草人:袁建廷、杨天京、艾袒鹏、石常海、张新跃、胡小明、刘宜朋、杜文茂、贾程凯、高峰、王静、贾忠、杨楠、张文斌、姚强、张亚明。本文件实施应用中的疑问,请咨询新疆维吾尔自治区互联网信息办公室、新疆大学。对本文件的修改意见建议,请反馈至
4、新疆维吾尔自治区互联网信息办公室(乌鲁木齐市西环北路2221号)、新疆大学(新疆乌鲁木齐市西北路499号)、新疆维吾尔自治区市场监督管理局(乌鲁木齐市新华南路167号)。新疆维吾尔自治区互联网信息办公室联系电话:0991-2384760;传真:0991-2384760;邮编:830014 新疆大学联系电话0991-4558654;传真0991-4558654;邮编830091新疆维吾尔自治区市场监督管理局联系电话:0991-2818750;传真:0991-2321250;邮编:830004 III DB 65/T 4439-2021 网络安全检查技术规范1 范围本文件规定了网络安全检查工作的流
5、程、内容和方法。本文件适用于自治区开展的网络安全检查,由适用于关键信息基础设施运营者开展网络安全自查。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不住日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术网络安全等级保护基本要求GB/T 22240 信息安全技术网络安全等级保护定级指南GB/T 31167 信息安全技术云计算服务安全指南GB/T 31168 信息安全技术云计算服务安全能力要求GB/T 35273 信息安全技术个人信息安全规范GB/T 37980
6、信息安全技术工业控制系统安全检查指南DB65/T 4438 -2021 关键信息基础设施识别指南3 术语和定义DB65/T 4438 -2021界定的术语和定义适用于本文件。4 缩略语下列缩略语适用于本文件。VLAN:虚拟局域网CVirtualLocal Area Network) WPA: Wi-Fi网络安全接入CWi-FiProtected Access) IP:互联网协议CIntemet Protocol) MAC:介质访问控制CMediaAccess ControD 5 检查工作流程5.1 检查准备5. 1. 1 检查工作内容由检查方依据法律法规、政策文件要求、网络安全检查技术规范和网
7、络安全发展态势等进行确定。如果被检查方上一年度也接受了网络安全检查,则还须查验被检方对上一年度网络安全检查发现的安全隐患以及漏洞是否及时处置,是否制定整改方案,是否落实整改措施。5.1.2 检查方须制定网络安全检查方案和网络安全检查工作表。网络安全检查方案应包含概述、检查DB 65月4439-2021依据、技术思路、被检查网络与信息系统的范围、业务情况、安全防护情况、检查内容和检查组成员、工作计划和内容安排等。5.2 检查实施5.2.1 依据检查方案开展现场检查工作,通过使用各种检查方法,检查网络安全的保护措施与本文件要求的符合情况。5.2.2 在现场检查过程中,检查方需辨别检查项的不适用情况
8、即检查项所防范的威胁在被检查方中是否存在,如果不存在,则该检查项应标为不适用项。5.2.3 在进行漏洞扫描、渗透测试等安全测试时,应确保检测工具本身不得存在恶意程序、漏洞及其他安全缺陷。检查方应与被检查方充分沟通,被检查方应提供满足检测工作要求的接入点和接入环境。检查方在测试前应全面评估漏洞扫描、渗透测试可能造成的风险,给出风险规避和应急处置措施,宜尽可能避免因安全测试对业务系统运行造成不良影响。5.2.4 被检查方应协助检查方完成业务相关内容的问询、验证和测试,如对某些需要验证、测试的内容进行上机操作,协助检查人员实施测试并提供有效建议,对检查结果进行确认,检查完成之后确认被检查系统工作正常
9、等。5.3 检查分析5. 3. 1 总结被检查网络与信息系统的整体安全防护能力进行综合评价。5.3.2 根据现场检查结果和本文件的相关要求,定位整个被检单位网络安全防护现状与本文件安全要求之间的差距,并分析这些差距导致网络与倍息系统面临的风险,给出检查结论,形成检查报告和整改通知书。6 通用网络安全检查6.1 网络安全等级保护落实情况检查6. 1. 1 检查要求包括:a) 运营者应完成网络与信息系统的等级保护定级和备案工作:b) 运营者应每年开展网络与信息系统的等级测评工作:c) 等级测评报告应客观准确地反映被测评网络与信息系统的安全保护状况,并提供整改建议:d) 运营者对等级测评中发现的安全
10、问题应进行整改。6.1.2 检查方法:a) 访谈;b) 查验:c) 测试。6.1.3 检查内容包括:a) 查看网络与信息系统的等级保护定级报告和备案表等,确定是否明确了网络与信息系统的安全保护等级,确定是否说明定级的方法和理由,确定是否组织专家对定级进行评审,确定是否具有等级保护备案证明等:b) 检查网络与信息系统等级测评报告,检查等级测评报告是否按照GB/T22240的要求逐项进行等级测评,通过访谈、查验等形式对等级测评报告内容进行核查验证,验证等级测评结果是否客观属实。检查报告中整改建议是否准确合理、是否完整,是否覆盖所有安全问题:c) 访谈安全管理人员对网络与信息系统等级测评中发现的安全
11、隐患,是否制定整改方案,是否落实整改措施,消除安全隐患。2 6. 2 关键倍患基础设施保护落实情况检查6.2.1 检查要求包括:a) 检查运营者关键信息基础设施清单,不应存在漏报、误报、蹒报的情况:b) 运营者应确定关键业务,并且有详细的关键业务描述:c) 运营者应完成关键信息基础设施识别识别工作和备案工作:d) 运营者应每年开展关键信息基础设施安全风险评估工作:e) 运营者对关键信息基础设施风险评估中发现的安全问题应进行整改。6.2.2 检查方法:a) 访谈:b) 查验:c) 测试。6.2.3 检查内容包括:DB 65月4439-2021a) 王军看关键信息基础设施识别认定报告和备案表等,确
12、定是否存在漏报、误报、蹒报的情况:b) 查看关键信息基础设施识别认定报告和备案表等,确定是否有关键业务详细的描述:c) 查看关键信息基础设施识别认定报告和备案表等,确定是否说明了认定关键信息基础设施的方法和理由,确定是否明确了支撑关键业务完整运行的网络设施、信息系统等,确定是否组织专家对识别认定进行评审,确定是否具有关键信息基础设施登记备案证明等;d) 查看关键信息基础设施安全风险评估报告。通过访谈、查验等形式对风险评估报告内容进行核查验证,验证评估结果是否客观属实。检查整改建议是否全面、准确、合理;e) 访谈安全管理人员对关键信息基础设施安全风险评估中发现的安全风险隐患,是否制定整改方案,是
13、否落实整改措施,消除风险隐患。6. 3 云计算服务安全情况检查6.3.1 对于已将业务及数据迁移到去计算服务平台的党政机关、关键信息基础设施运营者,参照GB/T31167开展网络安全栓查。6.3.2 检查要求包括:a) 应落实云计算服务网络安全管理的基本要求:b) 应合理确定采用云计算服务的数据和业务范围:c) 应要求采购的云计算服务通过云计算安全评估:d) 应加强云计算服务过程的持续指导和监督:e) 应强化云计算服务保密审查和安全意识培养。6.3.3 检查方法:a) 访谈:b) 查验。6.3.4 检查内容包括:a) 查看是否在采购使用云计算服务过程中遵守,并通过合同等手段要求云平台管理运营者
14、遵守安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等云计算服务网络安全管理的基本要求:b) 查看是否对数据的敏感程度、业务的重要性进行分类,是否全面分析、综合平衡采用云计算服务后的安全风险和效益,是否科学规划和确定采用云计算服务的数据、业务范围和进度安排:c) 查看是否在采购云计算服务时,通过采购文件或合同等手段,明确要求采购的云计算服务平台通过云计算服务安全评估:3 DB 65月4439-2021d) 查看是否对云计算服务平台的安全控制措施执行情况、风险问题的处置情况、重大变更情况、重大安全事件的响应情况等开展持续监督;查验是否履行合同规定的责任义务,监督云平台管理运营
15、者加强安全防护管理。查看是否要求云平台管理运营者在发生网络安全案件或重大事件时,及时向自治区主管、监管部门报告,并配合相关部门开展调查工作:e) 查看是否建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。查验在使用云计算服务前,是否集中组织开展工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险。6.4 数据安全保护情况检查6.4.1 检查要求包括:a) 应建立健全数据全生命周期的数据安全管理制度:b) 应根据数据分类分级的不间,制定符合其安全需要的保护策略:c) 应采取措随保护数据的完整性、保密性、可
16、用性,防止泄露、窃取、篡改、损毁、非法使用等;的不应存在超出用户授权沼围或违反要求收集、存储、使用等个人信息的情况:e) 应严格控制重要数据的公开、分析、交换、共草和导出等关键环节:f) 网开展数据安全风险评估工作:g) 对数据安全风险评估中发现的安全问题应进行整改。6.4.2 检查方法:a) 访谈:b) 查验:c) 测试。6.4.3 检查内容包括:a) 查看是否建立包含采集、传输、存储、处理、交换和销毁各环节的数据安全管理制度,并验证内容是否详实:b) 查看对数据是否采取了分类标识、逐类定级和分级管理相结合的管理措施:c) 查看是否执行了数据的安全保护策略,并验证内容是否详实:d) 查看是否
17、建立了数据的容灾备份机制,验证内容是否详实,有无重大缺失:e) 查看对个人信息和重要数据的传输、存储是否采用了加密等保护措施:f) 查验个人信息的收集、存储、使用、共亭、转让、公开披露等是否符合GB/T35273的要求。例如查验是否存在超出用户授权范围或违反要求收集、存储、使用个人倍息的情况:g) 应严格控制重要数据的公开、分析、交换、共享和导出等关键环节。例如查看重要数据公开前是否经过脱敏处理:查看是否明确数据分析的程度和范围:查看是否限制共享数据的类型、范围以及共享后的使用目的等;h) 查看数据安全风险评估报告。通过访谈、查验等形式对评估报告内容进行核查验证,验证评估结果是否客观属实,检查
18、整改建议是否全面、准确、合理:i) 访谈安全管理人员对数据安全风险评估中发现的安全隐患,是否制定整改方案,是否落实整改措施,消除安全隐患:j) 在自治区境内运营中收集、产生和存储的个人信息和重要数据,因业务需要,确需向境外提供的,应当进行安全评估。6.5 安全组织架构情况检查4 DB 65月4439-20216.5.1 检查要求包括:a) 运营者应按照要求建立了网络安全管理机构,建立指导和管理网络安全工作的委员会或领导小组,网络安全第一责任人应由主要领导担任;b) 应设立网络安全管理负责人和关键岗位的人员等岗位,明确网络安全管理负责人和关键岗位的人员的安全责任:c) 应建立并实施网络安全考核及
19、监督问责机制,对网络安全管理负责人和关键岗位的人员进行了安全背景审查。6.5.2 检查方法:a) 访谈;b) 查验。6.5.3 检查内容包括:a) 查看有关安全管理机构设置和人员安全管理情况的证明材料,验证是否属实:b) 查看有关证明材料,验证运营者是否建立并实施网络安全考核及监督问贵机制,验证是否在相关制度中对人员职责明确责任分工情况,并通过考核和监督问贵相关工作记录文档查验该机制是否正确有效运行;c) 查看安全管理机构人员的背景审查资料、记录、人员资质证明文件等。6.6 安全经费保障情况检查6.6.1 检查要求包括:a) 应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安
20、全教育培训、网络安全自查、等级测评、关键信息基础设施检测评估、网络安全应急处置等费用纳入部门年度预算。b) 应严格落实网络安全经费预算,保证网络安全经费投入。6.6.2 检查方法:a) 访谈:b) 查验。6.6.3 检查内容包括:a) 查验上一年度和本年度预算文件,检查年度预算中是否明确有网络安全相关费用:b) 查验相关财务文档和经费使用张目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。6. 7 人员安全管理情况检查6.7.1 检查要求包括:a) 应定期开展网络安全管理人员和技术人员专业技能培训:b) 应与重点岗位的维护和管理人员签订网络安全与保密协议,明确网络安全与保密责
21、任:c) 应制定并严格执行人员离岗离职网络安全管理规定并严格执行:d) 应建立外部人员访问机房等重要区域审批制度,应认真执行并对访问活动进行记录留存;e) 应建立网络安全责任事故追查机制,对违反网络安全管理规定的人员给予严肃处理,对造成网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。6.7.2 检查方法:的访谈:b) 查验。6.7.3 检查内容包括:5 DB 65月4439-2021a) 查验教育培训计划、会议通知、检查网络安全形势教育等开展情况:查验培训通知、培训|教材、结业证书等:访谈网络安全管理和技术人员培训内容,查看是否具有人员安全教育培训记录资料:b) 查验岗位网络
22、安全责任制度文件,检查不同岗位的网络安全责任是否明确:检查重点岗位人员网络安全与保密协议签订情况:访谈部分重点岗位人员,抽查对网络安全责任的了解程度:c) 查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求:检查离岗离职人员安全保密承诺书签署情况:查验信息系统账户,检查离岗离职人员账户访问权限是否巳被终止;d) 查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求:查验访问审批记录、访问活动记录,检查记录是否清晰、完整:e) 查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络安全事件、是
23、否对网络安全事件责任人进行了处置。6.8 外包服务安全情况检查6.8.1 检查要求包括:a) 应建立并严格执行信息技术外包服务安全管理制度:b) 应与信息技术服务外包服务商签订网络安全与保密协议,明确网络安全与保密责任:c) 关键信息基础设施使用了第三方外包服务过程中应安排专人陪同并提供详细记录:d) 外包开发的关键信息基础设施软件系统上线应用前应进行了等级测评、关键信息基础设施风险评估,应要求开发方及时提供系统软件的升级、漏洞修复等相应的服务;e) 关键信息基础设施运维外包应严格执行非远程在线运维服务方式。6.8.2 检查方法:a) 访谈:b) 查验。6.8.3 检查内容包括:a) 查验相关
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB65T 4439-2021 网络安全检查技术规范新疆维吾尔自治区 DB65 4439 2021 网络安全 检查 技术规范 新疆维吾尔自治区
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。