标准规范下载简介

DB21／T 3661-2022 信息化项目全过程网络安全服务规范.pdf简介：

DB21/T 3661-2022 是中国的一个国家标准，全称为《信息化项目全过程网络安全服务规范》，它主要针对信息化项目从规划、设计、实施到运维的全过程，对网络安全服务提出了详细的要求和指南。这个标准旨在保障信息化项目的网络安全，预防和减少网络安全风险，确保信息系统在运行过程中的安全稳定。

该规范涵盖了网络安全策略的制定，网络安全需求分析，网络安全设计与实施，网络安全风险评估，网络安全监控及应急响应，以及网络安全的持续改进等方面。它规定了网络安全服务提供商应遵循的最佳实践，包括但不限于数据保护、访问控制、安全审计、安全培训等。

实施这个标准，有助于提高信息化项目的网络安全管理水平，促进企业、政府等机构在信息化建设过程中对网络安全的重视，保障信息资产的安全，防止数据泄露，维护社会公共利益。

DB21／T 3661-2022 信息化项目全过程网络安全服务规范.pdf部分内容预览：

GB/T18336.2、GB/T22239、GB/T25069、GB/T25070、GB/T28448、GB/T39786和1S0/1EC27001 界定的以及下列术语和定义适用于本文件。 3.1 信息化项目全过程thewholeprocessofinformatizationproject 完整的信息化项目管理流程，包括规划设计、招标采购、部署实施、验收评估和运行维护和共五个 阶段。 3.2 网络安全服务cybersecurityservice 面向组织或个人的各类网络安全保障需求，由服务提供方按照服务协议所执行的一个网络安全过程

GB/T 18336.2、GB/T 22239、GB/T 25069、GB/T 25070、GB/T 28448、GB/T 39786和IS 界定的以及下列术语和定义适用于本文件。

网络安全服务cybersecurityservice 面向组织或个人的各类网络安全保障需求DB37／T 3717-2019标准下载，由服务提供方按照服务协议所执行的一个网络安全过程 或任务。

网络安全设计cybersecuritydesign 针对信息系统的安全保障需求，设计总体安全策略，形成安全架构、技术体系

DB21/T3661 202

3.5 信息安全管理体系informationsecuritymanagementsystem 在整体或特定范围内建立信息安全目标和策略，以及完成这些目标和策略所用方法的总集。 3.6 网络安全监理cybersecuritysupervision 具有相关资质的监理单位受网络安全工程建设单位的委托，依据国家有关法律法规、标准规范和监 理合同，对信息系统项目实施的监督管理。 3.7 信息安全风险评估Informationsecurityriskassessment 从风险管理角度，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属

网络安全等级保护测评testingandevaluationforgradedcybersecurityprotection 测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密 的网络安全等级保护状况进行检测评估的活动

4.1规划设计阶段提供网络安全投资决策咨询、网络安全规划编制、网络安全建设方案编制、商用密 码应用规划编制、商用密码解决方案编制服务。 4.2招标采购阶段提供招投标文件及合同咨询服务。 4.3部署实施阶段提供网络安全监理、网络安全项目管理服务。 4.4验收评估阶段提供信息安全风险评估、网络安全等级保护测评、商用密码应用安全性评估、软件 安全性测试、源代码安全审计、渗透测试服务。 4.5运行维护阶段提供信息安全风险评估、网络安全等级保护测评、商用密码应用安全性评估、软件 安全性测试、网络安全运维、网络安全应急保障、信息安全管理体系建设、网络安全培训服务。

5服务组织模式及人员职责

5.1.1服务过程分为规划设计、招标采购、部署实施、验收评估和运行维护五个阶段。 5.1.2每个阶段对应提供不同的安全服务项，为信息化项目全过程建设各个阶段的网络安全提供全方 位的服务和保障。

DB21/T 3661—2022

各岗位人员职责如表1所示。

图1信息化项目全过程网络安全服务框架

表1 人员职责划分表

DB21/T 3661—2022

d) 评价投资方案，主要是对投资风险与回报进行评价分析，由此来断定投资决策方案的可靠性； 2 反馈调整决策方案和投资后的评价，投资方案确定之后，还必须要根据环境和需要的不断变 化，对原先的决策进行适时地调整，从而使投资决策更科学合理。

6.2网络安全规划编制

网络安全规划应按以下几个方面进行规划： a) 2 通过风险评估等方式提取组织的安全需求，对相应的安全保障目标、任务、措施和步骤 规划； b) ）从策略、组织、管理、技术、资源等多个层面进行规划

6.3网络安全建设方案编制

6.4商用密码应用规划编制

6.5商用密码应用解决方案编制

商用密码应用解决方案编制包括以下内容： 物理和环境安全的商用密码应用； ? b) 网络和通信安全的商用密码应用； c) 设备和计算安全的商用密码应用； d) 应用和数据安全的商用密码应用； e) 管理制度角度的商用密码应用； f) 人员管理角度的商用密码应用； g 建设运行角度的商用密码应用； h) 应急处置角度的商用密码应用

商用密码应用解决方案编制包括以下内容： a) 物理和环境安全的商用密码应用； b) 网络和通信安全的商用密码应用； c) 设备和计算安全的商用密码应用； d) 应用和数据安全的商用密码应用； # 管理制度角度的商用密码应用； C 人员管理角度的商用密码应用； D 建设运行角度的商用密码应用； 应急处置角度的商用密码应用。

招标采购阶段网络安全服务内容

网络安全招标采购咨询主要包括以下内容： a 提供网络安全领域项目招标文件编制和招标技术的咨询指导服务，协助完成详细的具体的技 术质量要求的技术性文书； D) 提供网络安全领域项目投标文件编制和投标技术的咨询指导服务，协助完成应招标文件要求 编制的技术响应性文件：

DB21/T3661 2022

提供网络安全领域项目招投标合同的咨询指导服务，协助完成招标合同中的技术内容。

网络安全监理主要包括以下内容： a 依据网络安全方面的标准和要求，在工程建设各阶段向建设单位提供相关咨询，并协助建设单 位对承建单位在工程建设中的网络安全实施服务进行监理； b) ）对信息系统运维阶段的其他网络安全实施服务进行监理。

可提供的网络安全项目管理服务包括以下内容：范围管理、项目风险管理、项目集成管理、质量管 理、时间管理、项目人力资源管理、工程咨询服务、综合能力管理、采购管理、成本管理、沟通管理等，

8.3网络安全集成（或建设）

可提供的网络安全项目集成（或建设）服务包括以下内容：计算机应用系统工程和网络系统工程的 安全需求界定、安全设计、建设实施、安全保证，协助信息系统管理人员进行信息系统的安全运维工作， 及时整改并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性。

验收评估阶段网络安全服务内容

信息安全风险评估包括以下内容： a) 2 风险评估准备，制定评估工作计划，包括评估业务范围、评估标准内容等； b) 资产识别，确定资产的机密性、完整性和可用性，进行资产赋值，并对重要和关键资产进行 标注； C） 威胁识别，进行威胁识别、威胁分类和威胁赋值； d) 2 脆弱性识别，进行脆弱性识别和脆弱性赋值； e) 已有安全措施确认，应确认安全措施的有效性； f） 风险分析，风险分析及风险值计算，形成风险评估报告

9.2网络安全等级保护测评

网络安全等级保护测评包括以下内容： a 1 测评准备，信息收集和分析、工具和表单准备； b) 1 测评方案编制，确定测评对象、测评指标、测评内容、工具及测评方法； C) 现场测评，进行现场测评和结果记录、结果确认和资料归还； 形成测评报告，进行单项测评结果判定、单元测评结果判定、整体测评、系统安全评估、安 全问题风险分析，形成等级测评结论并编制测评报告。

商用密码应用安全性评估包括以下内容： ） 评估密码应用方案，编制测评方案，包括密码应用解决方案、实施方案和应急处置方案：

b 前期准备，搜集系统部署图等文档证据、人员访谈了解系统业务情况； C) 现场测评，进行工具测试和人工核查； d) 进行密码应用安全评估并根据系统的密码应用情况出具测评报告

DB21/T 3661—2022

源代码安全审计服务主要包括以下内容： a) 1 通过自动化代码安全扫描工具，对源代码进行非破坏性质的审计工作； b) 通过工具扫描、手工测试验证相结合的方法，对源代码进行非破坏性质的审计工作； C） 通过对业务系统模块的源代码进行审查，检查代码在程序编写上可能引起的安全性和脆弱性 问题； d) 通过对源代码进行安全审计，根据软件实际安全性和脆弱性问题出具测评报告。

渗透测试服务包括以下内容： 日a 信息收集：通过公开渠道、直接访问、扫描网站等方式获取目标信息； D) 2 漏洞探测：完成信息收集之后，对网站进行漏洞探测； C) 漏洞验证：将探测到的有可能成功利用的全部漏洞逐一进行验证，验证成功后再应用于目标 中； d) 权限提升：利用目标系统存在的弱点进行本地权限提升并直接控制目标系统； e) 内网渗透：通过模拟攻击外网服务器，获取外网服务器的权限，利用外网服务器作为跳板 攻击内网其他服务器，获取有用信息和数据：

2 信息整理：整理渗透工具、整理收集信息、整理漏洞信息； g) 2 痕迹清理：在渗透测试结束后清除渗透测试痕迹及相关影响内容： h) 报告输出：进行整理资料，对漏洞成因、验证过程和带来危害进行分析，并提出修补建议 对所有产生的问题提出合理高效安全的解决办法。完成渗透测试报告编写GB50265-2010+泵站设计规范，

10.1信息安全风险评估

信息安全风险评估包括以下内容： a) 2 风险评估准备，制定评估工作计划，包括评估业务范围、评估标准内容等； b) 2 资产识别，确定资产的机密性、完整性和可用性，进行资产赋值，并对重要和关键资产进行 标注； 2 2 威胁识别，进行威胁识别、威胁分类和威胁赋值； d) 脆弱性识别，进行脆弱性识别和脆弱性赋值； e) 已有安全措施确认，应确认安全措施的有效性； f） ）风险分析，风险分析及风险值计算，形成风险评估报告。

10.2网络安全等级保护测评

网络安全等级保护测评包括以下内容： a) 1 测评准备，信息收集和分析、工具和表单准备； D 测评方案编制，确定测评对象、测评指标、测评内容、工具及测评方法； C） 1 现场测评，进行现场测评和结果记录、结果确认和资料归还； d) 形成测评报告，进行单项测评结果判定、单元测评结果判定、整体测评、系统安全评估、安 全问题风险分析，形成等级测评结论并编制测评报告。

【湖北省】基坑工程技术规程DB42/T 159-201210.3商用密码应用安全性评估