T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf

T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf
T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf
本站立即下载
仅供个人学习
反馈
标准编号:T/ISEAA 001-2020
文件类型:.pdf
资源大小:3.3 M
标准类别:环保标准
资源ID:52773
免费资源

T/ISEAA 001-2020标准规范下载简介

T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf简介:

"网络安全等级保护测评"是根据《中华人民共和国网络安全法》的要求,对信息系统进行安全级别划分和保护的一种制度。T/ISEAA 001-2020 标准,全称可能是"信息技术安全评估准则-网络安全等级保护测评高风险判定指引",是一个具体的实施指南或标准,用于帮助测评机构和组织确定网络系统的安全等级,并对可能存在的高风险进行评估。

这份PDF文件主要是针对网络安全等级保护测评中的高风险判定提供详细的规定和指导,它可能包括了风险识别、风险分析、风险评估的方法和流程,以及如何根据评估结果制定相应的风险控制策略。它涵盖了评估对象的各个层面,如信息系统的结构、技术、管理和人员等,以确保网络系统的安全防护达到相应的等级要求。

总的来说,这份文档是一个重要的工具,帮助企业和组织确保其网络安全,防范潜在的高风险,并符合国家的相关法规要求。

T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf部分内容预览:

6.4.3.6数据处理系统余措施缺失

本判例包括以下内容: a 标准要求:应提供重要数据处理系统的热允余,保证系统的高可用性。 b) 适用范围:三级及以上系统 C) 判例场景:对于数据处理可用性要求较高的定级对象,处理重要数据的设备,例如服务器、数据

库等未采用热几余技术,发生故障后可能导致系统停止运行 补偿因素:对于采取其他技术防范措施的情况,可从技术实现效果、恢复方式 行综合风险分析,根据分析结果,酌情判定风险等级

6.4.3.7未建立异地灾难备份中心

本判例包括以下内容: a)标准要求:应建立异地灾难备份中心,提供业务应用的实时切换。 b)适用范围:四级系统。 判例场景:容灾、可用性要求较高的系统[四川]26层商业楼高支模专项施工方案,未设立异地应用级容灾中心,或异地应用级容灾中心 无法实现业务切换 d)补偿因素:对于采取其他技术防范措施的情况,可从技术实现效果、恢复方式、RTO等角度进 行综合风险分析,根据分析结果,酌情判定风险等级

6.4.3.8鉴别信息释放措施失效

本判例包括以下内容: a)标准要求:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 6) 适用范围:二级及以上系统。 C 判例场景(所有): 1)身份鉴别信息释放或清除机制存在缺陷,利用剩余鉴别信息,可非授权访问系统资源或进 行操作; 2)无其他技术措施,消除或降低非授权访问系统资源或进行操作所带来的影响。 d)补偿因素:无,

6.4.3.9敏感数据释放措施失效

本判例包括以下内容: a)标准要求:应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 b)适用范围:三级及以上系统。 判例场景:个人敏感信息、业务敏感信息等敏感数据释放或清除机制存在缺陷,可造成敏感数 据泄露。 d)补偿措施:无。

6.4.3.10违规采集和存储个人信息

本判例包括以下内容: a) 标准要求:应仅采集和保存业务必需的用户个人信息。 b)适用范围:二级及以上系统。 判例场景(任意): 1)在未授权情况下,采集、存储用户个人隐私信息; 2)采集、保存法律法规、主管部门严令禁止采集、保存的用户隐私信息 d) 补偿因素:无。

6.4.3.11违规访问和使用个人信息

a) 标准要求:应禁止未授权访问和非法使用用户个人信息 b) 适用范围:二级及以上系统 判例场景(任意): 1)未按国家、行业主管部门以及标准的相关规定使用个人信息,例如在未授权情况下将用户 信息提交给第三方处理,未脱敏的个人信息用于其他非核心业务系统或测试环境,非法买 卖、泄露用户个人信息等情况; 2)个人信息可非授权访问,例如未严格控制个人信息查询以及导出权限等。 d)补偿因素:无。

云服务客户数据和用户个人信息违规

本判例包括以下内容: a)标准要求:应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相 关规定。 b) 适用范围:二级及以上云计算平台。 C) 判例场景:云服务客户数据、用户个人信息等数据出境未遵循国家相关规定。 d) 补偿因素:无

6.5.1运行监控措施缺失

本判例包括以下内容: a)标准要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 b)适用范围:高可用性的三级及以上系统。 判例场景:对网络链路、安全设备、网络设备和服务器等的运行状况无任何监控措施,发生故 后无法及时对故障进行定位和处理。 d)补偿因素:无

本判例包括以下内容: )标准要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 )适用范围:高可用性的三级及以上系统。 判例场景:对网络链路、安全设备、网络设备和服务器等的运行状况无任何监控措施,发生故障 后无法及时对故障进行定位和处理。 )补偿因素:无

6.5.2审计记录存储时间不满足要求

尝因素:对于与互联网完全物理隔离的系统,可从网络管控措施、介质管控措施, 度进行综合风险分析,根据分析结果,酌情判定风险等级。

6.6安全管理制度和机构

6.6.1管理制度缺失

本判例包括以下内容: a)标准要求:应对安全管理活动中的各类管理内容建立安全管理制度。 b)适用范围:二级及以上系统。 判例场景:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前定级 对象。 d)补偿因素:无,

本判例包括以下内容: )标准要求:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒 措施。 )适用范围:二级及以上系统。 )判例场景:未定期组织开展与安全意识、安全技能相关的培训。 补偿因素:无。

6.7.2外部人员接入网络管理措施缺失

本判例包括以下内容: a)标准要求:应在外部人员接入受控网络访问系统前先提出书面申请,经批准后再由专人开设账 户、分配权限,并登记备案。 ) 适用范围:二级及以上系统 判例场景(所有): 1)管理制度中未明确外部人员接入受控网络访问系统的申请、审批流程,以及相关安全控制 要求; 2)无法提供外部人员接入受控网络访问系统的申请、审批等相关记录证据。 补偿因素:无,

6.8.1违规采购和使用网络安全产品

本判例包括以下内容: a)标准要求:应确保网络安全产品的采购和使用符合国家有关规定。 b)适用范围:三级及以上系统。 c)判例场景:网络安全产品的采购和使用违反国家有关规定,“例如采购、使用的安全产品未获得 销售许可证、未通过国家有关机构的安全检测等”。 d)补偿因素:对于使用开源、自研的网络安全产品(非销售类安全产品)的情况,可从该网络安全 产品的作用、功能、使用场景、国家及行业主管部门的要求等角度进行综合风险分析,充分考虑 该网络安全产品未通过专业机构检测,一旦出现功能缺陷、安全漏洞等问题对定级对象带来的 影响,根据分析结果,酌情判定风险等级

6.8.2外包开发代码审计措施缺失

本判例包括以下内容: a)标准要求:应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 b)适用范围:三级及以上系统。 )判例场景(所有): 1)涉及国计民生的核心业务系统,被测单位未对开发单位开发的系统进行源代码安全审查 2)开发单位未提供任何第三方机构提供的安全性检测证明。 补偿因素: 1)定级对象建成时间较长,虽未进行源代码安全审查,但定期进行安全检测,并能够提供安 全检测报告,且当前管理制度中明确规定外包开发代码审计,可根据实际措施效果,的情 判定风险等级; 2) 对于被测单位通过合同等方式与开发单位明确安全责任并采取相关技术手段进行防控的 情况,可从已采取的技术防范措施等角度进行综合风险分析,根据分析结果,酌情判定风 险等级; 3) 对于部分模块外包开发的情况,可从外包开发模块的用途、重要性等角度进行综合风险分 析,根据分析结果,酌情判定风险等级

本判例包括以下内容: a)标准要求:应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用 安全性测试相关内容。 b)适用范围:三级及以上系统。 c)判例场景:系统上线前未开展任何安全性测试,或未对测试发现的高风险问题进行安全评估和 整改。 d)补偿因素:定级对象建成时间较长,上线前虽未进行安全性测试,但上线后定期开展安全检测 且检测未发现高危风险隐患,可根据实际措施效果,酌情判定风险等级。 汪: :安全测试内容包括但不限于等级保护测评、扫描渗透测试、安全功能验证、源代码安全审核等

6.9.1运维工具管控措施缺失

本判例包括以下内容: a)标准要求:应严格控制运维工具的使用,经过审批后才可接人进行操作,操作过程中应保留不 可更改的审计日志,操作结束后应删除工具中的敏感数据。 b 适用范围:三级及以上系统 C 判例场景(任意): 1 运维工具(特别是未商业化的运维工具)使用前未进行有效性检查,例如病毒、漏洞拉 描等; 2) 对运维工具接入网络未进行严格的控制和审批; 3)运维工具使用结束后未要求删除可能临时存放的敏感数据。 d)补偿因素:无

6.9.2设备外联管控措施缺失

本判例包括以下内容: a)标准要求:应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他 违反网络安全策略的行为。 b)适用范围:三级及以上系统 C 判例场景(所有): 1)管理制度中无与外部连接的授权和审批流程,也未定期进行相关的巡检; 2)无技术手段对违规上网及其他违反网络安全策略的行为进行有效控制、检查、阻断 d)补偿因素:无

外来接入设备恶意代码检查措施缺失

本判例包括以下内容: a)标准要求:应加强所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意 代码检查等。 ) 适用范围:二级及以上系统。 判例场景(所有): 1)管理制度中未明确外来计算机或存储设备接入安全操作规程; 2)外来计算机或存储设备接入网络前未进行恶意代码检查。 d)补偿因素:无。

JGJ∕T 394-2017 静压桩施工技术规程6.9.4变更管理制度缺失

本判例包括以下内容: a)标准要求:应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方 可实施。 6 适用范围:二级及以上系统。 判例场景(所有):

更方案审批流程等相关内容: 2)实际变更过程中无任何流程、人员、方案等审核环节及记录。 d)补偿因素:无。

6.9.5数据备份策略缺失

本判例包括以下内容: a)标准要求:应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略 备份程序和恢复程序等。 b)适用范围:二级及以上系统。 c)判例场景:无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份和恢复 措施。 d)补偿因素: 1)虽未建立相关数据备份与恢复制度,但实际工作中实施了数据备份及恢复测试,且能够提 供相关证据,备份与恢复措施符合业务需要,可根据实际措施效果,酌情判定风险等级; 2) 对于定级对象还未正式上线的情况,可从已制定的备份恢复策略、计划采取的技术措施 例如环境、存储等是否满足所规定的备份恢复策略要求等角度进行综合风险分析,根据分 析结果,酌情判定风险等级,

GB 51043-2014 电子会议系统工程施工与质量验收规范6.9.7未对应急预案进行培训演练

文化教育标准 通信标准 铁路标准 计量标准 混凝土标准 工业标准 地方图集 路桥标准 材料验收规范 汽车标准 化工标准
©版权声明
资源来自互联网,如有侵权请联系删除
同类资源: 环保工程 ehs工程
相关文章

1 T/CFLP 0026-2020 散装液体化学品罐式车辆装卸安全作业规范

2 T/CCSAS 023-2022 危险化学品企业紧急切断阀设置和使用规范.pdf

3 LY/T 5007-2014 林火阻隔系统建设标准.pdf

4 DB2101/T 0031-2021 建筑吊篮安全施工管理规范.pdf

5 DB4403/T 79-2020 危险化学品储存柜安全技术要求及管理规范.pdf

6 DB13/T 5076-2019 C型钩吊具安全使用技术规范

7 AQ/T 2063-2018 金属非金属露天矿山高陡边坡安全监测技术规范

8 TSG 21-2016 固定式压力容器安全技术监察规程(附修订说明).pdf

9 建标 198-2022 城市污水处理工程项目建设标准(完整正版、清晰无水印).pdf

10 T/CAGHP 056-2019 滑坡防治回填压脚治理工程设计规范(试行).pdf

11 DB3204T 1026-2022 危险化学品储存柜安全技术要求及管理规范.pdf

12 JT/T 1405-2022 公路水运工程生产安全事故应急预案编制要求.pdf

13 DB23/T 3045-2021 森林山地木栈道建设技术规程.pdf

14 TD/T 1060-2021 自然资源分等定级通则.pdf

15 DB13(J)/T 8446-2021 建筑施工安全技术资料管理标准(附条文说明).pdf

16 房屋市政工程安全生产标准化指导图册(建办质函[2019]90号 住房和城乡建设部办公厅2019年2月1日).pdf

1 安装工程计量与计价培训讲义

2 DBJ51∕T 095-2018 四川省震后城乡重建规划编制管理标准

3 【讲义】公路工程质量检验评定标准JTG F80-1-2017(1).pdf

4 体育馆装修工程施工组织设计.doc

5 某新厂平土工程施工组织设计

6 新建 家装施工工艺

7 湖南一广场大厦钢结构施工组织设计

8 2种施工组织设计模板

9 建筑大学施工组织设计

10 DZ/T 0401-2022 矿山地质工作规范.pdf

11 T/FYSYLFW 09-2020 网络信息安全管理规范.pdf

同类主题
建筑工程公路路桥桥梁工程电力弱电金属材料规范市政工程国家规范地方其他ehs工程环保工程设备安装水利工程施工建材标准装修工程