DB23∕T 3279—2022 网络安全检查工作评估指南(黑龙江省).pdf

1、ICS35.030CCS L 8023黑龙江省地方标准DB23/T 32792022网络安全检查工作评估指南2022-07-07 发布2022-08-06 实施黑龙江省市场监督管理局发 布DB23/T 32792022I目次前言 . II1范围 . 12规范性引用文件 . 13术语和定义 . 14评估原则 . 15评估方法 . 25.1文档查阅 . 25.2人员访谈 . 25.3现场抽查 . 25.4技术验证 . 26评估流程 . 26.1工作准备 . 26.2工作实施 . 36.3结果反馈 . 47评估内容 . 47.1准备阶段评估 . 47.2实施阶段评估 . 47.3结果反馈阶段评估 .

2、 57.4检查效果评估 . 58评估报告 . 5参考文献 . 6DB23/T 32792022II前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由黑龙江省互联网信息办公室提出并归口。本文件起草单位： 国家计算机网络应急技术处理协调中心黑龙江分中心、 黑龙江省智慧城市建设协会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。本文件主要起草人：吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵玉明、刘勇。DB23/T 327920221网络安全检查工作评估指南1范围本文件给出了网络安

3、全检查评估工作的术语和定义、评估原则、评估方法、评估流程、评估内容和评估报告。本文件适用于黑龙江省网信部门开展网络安全检查的评估工作。 其他相关部门开展网络安全检查的评估工作和网络运营者开展网络安全自查的评估工作可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。中华人民共和国网络安全法3术语和定义下列术语和定义适用于本文件。3.1网络安全通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠

4、运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。来源：中华人民共和国网络安全法，第76条3.2网络安全检查由上级主管机关或相关职能部门发起的，依据国家有关法律、法规和标准，对信息系统安全状况及其管理情况进行检查的活动。3.3评估方对网络安全检查工作实施评估的组织机构。3.4被评估方开展网络安全检查工作后被评估的组织机构。3.5被检查方网络安全检查工作中被检查的组织机构。4评估原则DB23/T 327920222评估方应依据国家、行业的有关要求，包括法律法规、政策文件和标准规范等，坚持客观、公正的原则，采用科学的评估方法，规范流程，控制风险，如实反映评估结果。5评估方法5.1文档查阅

5、评估方查阅被评估方实施网络安全检查的依据、管理制度、方案以及检查实施过程中产生的记录、总结报告等全部文件资料，评估其合规性、合理性及完整性。5.2人员访谈评估方应在评估实施之前准备好调查表或访谈表， 通过人员访谈的方式补充文档查阅过程中未被发现的细节，以进一步完善评估结果。5.3现场抽查评估方结合被评估方网络安全检查结果， 以现场抽查的方式选取部分被检查方， 验证检查结果的准确性。5.4技术验证评估方通过远程技术检测、漏洞扫描、入侵检测、日志分析、协议分析、恶意代码检测、渗透测试等必要的技术手段对技术部分检查结果的准确性进行验证。6评估流程6.1工作准备6.1.1确定评估目标评估方根据评估工作

6、的背景、 依据和原则， 在充分调研被评估方所属行业的政策文件及相关标准基础上，明确评估范围及内容，并制定评估工作计划。6.1.2组建评估团队6.1.2.1评估团队由评估领导小组、评估工作组和专家组组成。6.1.2.2评估领导小组由评估方和被评估方领导及双方有关部门负责人组成，评估领导小组主要负责的工作包括但不限于：a)决策评估工作的目的、目标；b)参与并指导评估准备阶段的启动会议；c)协调评估实施过程中的各项资源；d)组织评估项目验收会议；e)推进并监督风险处理工作。6.1.2.3评估工作组由评估方、技术支撑机构组成，评估工作组主要负责评估工作的具体实施，包括但不限于：a)完成评估前的表格、文

7、档、评估工具等各项准备工作；DB23/T 327920223b)开展评估技术培训和保密教育；c)制定评估过程管理相关制度；d)编制应急预案；e)实施评估。6.1.2.4专家组由聘请相关专业的技术专家和技术骨干组成，专家组主要负责为评估工作组提供技术咨询，工作内容包括但不限于：a)协助规划评估项目总体工作思路和方向；b)对出现的关键性难点问题进行决策；c)对评估结论进行确定。6.1.3召开启动会议启动会议由评估领导小组组织，各相关方参加。启动会议的主要内容如下：a)确定此次评估工作的意义、目的、目标以及责任分工；b)说明本次评估工作的计划和各阶段工作任务，以及需要配合的具体事项；c)介绍评估工作

8、具体方法和工作内容等。6.1.4开展评估调研评估方对被评估方现状进行调研，调研内容包括但不限于：a)网络安全检查开展依据；b)网络安全检查工作负责部门及工作组的组织架构；c)网络安全检查管理制度；d)网络安全检查方案；e)网络安全检查实施过程中产生的文件化信息，包括但不限于检查记录、总结报告等全部文档资料；f)形成调研结果报告。6.1.5制定评估方案评估方结合被评估方的具体情况和调研结果报告，依据本文件要求，编制评估方案，方案内容包括但不限于：a)评估目标、范围、依据、时间进度安排等；b)评估内容、实施方法以及需使用的软硬件工具；c)风险管理措施；d)人员安排、项目管理制度；e)被评估方需要配

9、合的事项清单。6.2工作实施6.2.1实施准备6.2.1.1评估方和被评估方确认现场评估需要的各种资源，包括评估配合人员和需要提供的软硬件条件及工作环境。6.2.1.2评估方通过现场抽查进行技术验证时，需要被评估方协调抽查对象，告知其技术验证过程中可能存在的安全风险，并做好相应的应急和备份工作。DB23/T 3279202246.2.1.3如果评估活动是由有关部门发起并委托安全服务机构进行的，安全服务机构应满足相关资质要求并获得委托方的书面授权。6.2.2现场实施6.2.2.1评估方依据评估方案，通过文档查阅、人员访谈、现场抽查和技术验证等方法，对被评估方网络安全检查工作进行评估。评估内容包括

10、：a)准备阶段评估；b)实施阶段评估；c)结果反馈阶段评估；d)检查效果评估。6.2.2.2评估方将评估过程中获得的信息进行详细、准确记录，并与被评估方进行现场确认。6.2.2.3采用技术验证方法进行评估时，应充分考虑可能引入的安全风险，以选择合适的技术方法，尽量降低对目标系统造成的影响。6.2.3汇总分析评估方应及时对评估结果进行梳理、汇总，对遗漏和需进一步验证的内容加以补充，对发现的问题进行分析，对被评估方的网络安全检查效果给予综合分析评价。6.2.4编制报告评估方就评估结果给出评估结论，并编制评估报告。6.3结果反馈评估方将评估工作情况和评估报告反馈给被评估方。7评估内容7.1准备阶段评

11、估7.1.1网络安全检查准备阶段的评估主要采用文档查阅、人员访谈等方法。7.1.2评估方查看被评估方网络安全检查准备阶段的相关材料并实施评估，评估内容包括但不限于：a)网络安全检查开展依据，包括相关法律法规、政策文件和标准规范等；b)网络安全检查工作管理制度的制定情况；c)网络安全检查工作组组建情况以及具体分工和职责；d)网络安全检查前期调研情况；e)网络安全检查方案的制定情况，是否对检查范围、对象、时间进度安排、检查内容、实施方法、需使用的软硬件工具、风险管理措施等内容进行明确说明；f)与被检查方签署保密协议情况。如委托第三方开展检查，查看第三方是否具备相应资质，是否与第三方签署保密协议；g

12、)前期通过远程检测查找网络安全漏洞和隐患情况，开展远程检测前是否已告知被检查方。7.2实施阶段评估7.2.1网络安全检查实施阶段的评估主要采用文档查阅、人员访谈等方法。DB23/T 3279202257.2.2评估方查看被评估方网络安全检查实施阶段的相关材料并实施评估，评估内容包括但不限于：a)查看现场检查清单，评估检查内容是否符合法律法规、政策文件及标准规范等要求，是否可以全面体现出被检查方的网络安全现状，包括管理层面和技术层面等；b)网络安全检查方案的执行情况；c)查看现场检查记录，评估记录是否详实、清晰，并已得到被检查方的确认；d)现场技术检查前，是否与被检查方充分沟通确认，并明确告知其

13、检查方式、使用工具及有关风险；e)现场技术检查后，是否对被检查方造成不良影响，被检查方系统是否工作正常；f)根据检查工作中发现的安全问题和风险隐患，对被检查方的网络安全防护能力和事件处置能力等给出综合评价；g)网络安全检查报告的编制情况；h)检查实施过程中有无因网络安全检查而引发的网络安全风险或事件。7.3结果反馈阶段评估7.3.1网络安全检查结果反馈阶段的评估主要采用文档查阅、人员访谈等方法。7.3.2评估方查看被评估方网络安全检查结果反馈阶段的相关材料并实施评估，评估内容包括但不限于：a)网络安全检查工作情况和网络安全检查报告的反馈情况；b)网络安全检查报告是否能够准确反映出被检查方网络安

14、全防护现状，对检查结果的说明是否全面，整改建议是否具备可操作性。7.4检查效果评估7.4.1网络安全检查效果的评估主要采用文档查阅、人员访谈、现场抽查和技术验证等方法。7.4.2评估方应对被评估方的网络安全检查效果进行评估，评估内容包括但不限于：a)抽查被检查方，验证网络安全检查结果的准确性；b)抽查被检查方问题整改落实情况；c)被检查方问题整改后，评估方使用技术验证方式抽查被检查方的网络安全防护能力。近一段时期以内的网络安全事件发生频率、事件类型等可作为评价其网络安全防护能力的参考指标。8评估报告评估方对评估工作进行全面总结，编制评估报告，报告内容包含但不限于：a)工作概述，被评估方基本信息

15、，评估过程及评估结果的概括描述，对被评估方网络安全检查工作的总体评价及主要建议；b)结果说明，评估内容及其评估结果的详细描述；c)问题分析，通过对网络安全检查全流程进行评估，汇总分析存在的问题及其可能造成的影响；d)综合评价，结合被评估方实际业务情况，综合评价被评估方的网络安全检查工作；e)整改建议，针对评估中发现的问题，提出解决措施和整改建议，并对进一步提升网络安全检查水平提出建议。DB23/T 327920226参考文献1 GB/T 20984-2007 信息安全技术信息安全风险评估规范2 GB/T 22080-2016 信息技术 安全技术 信息安全管理体系要求3 GB/T 22239-2019 信息安全技术 信息安全等级保护基本要求4 GB/T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南5 GB/T 31509-2015 信息安全技术信息安全风险评估实施指南6 关键信息基础设施安全保护条例 （中华人民共和国国务院令）