标准规范下载简介
DB23/T 3279-2022 网络安全检查工作评估指南.pdf简介:
DB23/T 3279-2022《网络安全检查工作评估指南》是中国的推荐性国家标准,其全称为“网络安全检查工作评估技术指南”。该标准主要目的是为网络安全检查工作的实施提供一个系统化、规范化的评估框架和方法,以确保网络安全检查的全面性、准确性和有效性。
该指南详细规定了网络安全检查工作的各个环节,包括但不限于网络安全策略的制定与执行、网络设备的配置与管理、网络安全威胁的识别与防护、安全事件的应对与恢复、安全管理制度的建立与执行等方面。它涵盖了网络安全评估的流程、方法、工具和标准,以及如何依据评估结果进行问题整改和持续改进。
通过遵循DB23/T 3279-2022,相关组织和企业可以更好地进行网络安全风险的管理和控制,提升网络安全防护能力,保障网络系统的稳定和数据的安全。
DB23/T 3279-2022 网络安全检查工作评估指南.pdf部分内容预览:
黑龙江省市场监督管理局 发布
DB23/T32792022
前 范围 规范性引用文件 术语和定义 评估原则 评估方法 5. 1 文档查阅 5. 2 人员访谈 5. 3 现场抽查 5. 4 技术验证 评估流程, 6.1工作准备 6.2工作实施. 6.3结果反馈. 评估内容 7.1准备阶段评估, 7.2实施阶段评估. 7.3结果反馈阶段评估 7. 4 检查效果评估. 评估报告....
别合 范围 规范性引用文件 术语和定义 评估原则 评估方法 5. 1 文档查阅 5. 2 人员访谈 5. 3 现场抽查 5. 4 技术验证 评估流程, 6.1工作准备 6.2工作实施. 6.3结果反馈. 评估内容 7.1准备阶段评估 7.2实施阶段评估. 7.3结果反馈阶段评估. 7. 4 检查效果评估. 评估报告....
SJG 79-2020 二次供水设施技术规程.pdfDB23/T32792022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位:国家计算机网络应急技术处理协调中心黑龙江分中心、黑龙江省智慧城市建设协 会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。 本文件主要起草人:吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵 玉明、刘勇。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位:国家计算机网络应急技术处理协调中心黑龙江分中心、黑龙江省智慧城市建设协 会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。 本文件主要起草人:吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵 玉明、刘勇。
DB23/T32792022
网络安全检查工作评估指南
评估原则、评估方法、评估流程、评估内容利 评估报告。 本文件适用于黑龙江省网信部门开展网络安全检查的评估工作。其他相关部门开展网络安全检查的 评估工作和网络运营者开展网络安全自查的设 工作可参照热行
又该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 《中华人民共和国网络安全法》
网络安全 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 【来源:《中华人民共和国网络安全法》,第76条】
稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 【来源:《中华人民共和国网络安全法》,第76条] 3.2 网络安全检查 由上级主管机关或相关职能部门发起的,依据国家有关法律、法规和标准,对信息系统安全状况及 其管理情况进行检查的活动。 3.3 评估方 对网络安全检查工作实施评估的组织机构。 3.4 被评估方 开展网络安全检查工作后被评估的组织机构。 3.5 被检查方 网络安全检查工作中被检查的组织机构。
DB23/T32792022
评估方查阅被评估方实施网络安全检查的依据、管理制度、方案以及检查实施过程中产生的记录、 总结报告等全部文件资料,评估其合规性、合理性及完整性,
评估方应在评估实施之前准备好调查表或访谈表,通过人员访谈的方式补充文档查阅过程中未被发 现的细节,以进一步完善评估结果,
评估方结合被评估方网络安全检查结果,以现场抽查的方式选取部分被检查方,验证检查结果的准 确性
评估方通过远程技术检测, 授检 日志分析、协议分析、恶意代码检测、渗透 必要的技术手段对技术部分检查结果的准确性进行验证。
6.1.1确定评估目标
评估方根据评估工作的背景、依据和原则,在充分调研被评估方所属行业的政策文件及相关标 上,明确评估范围及内容,并制定评估工作计划
6. 1. 2 组建评估团队
评估工作组由评估方、技术支撑机构组成,评估工作组主要负责评估工作的具体实施,包括 完成评估前的表格、文档、评估工具等各项准备工作:
b)开展评估技术培训和保密教育; c) 制定评估过程管理相关制度; d)编制应急预案; e)实施评估。
DB23/T32792022
b)开展评估技术培训和保密教育; c)制定评估过程管理相关制度; d)编制应急预案; e)实施评估。
1.2.4 客询,工作内容包括但不限于: a)协助规划评估项目总体工作思路和方向; b) 对出现的关键性难点问题进行决策; c对评估结论进行确定。
6. 1.3召开启动会议
6. 1. 4 开展评估调研
评估方对被评估方现状进行调研,调研内容包括但不限于: a 网络安全检查开展依据; b) 网络安全检查工作负责部门及工作组的组织架构: C 网络安全检查管理制度; d 网络安全检查方案; e 网络安全检查实施过程中产生的文件化信息,包括但不限于检查记录、总结报告等全部文档 资料; f)形成调研结果报告。
6.1.5制定评估方案
评估方结合被评估方的具体情况和调研结果报告,依据本文件要求,编制评估方案,方案内容包括 旦不限于: a)评估目标、范围、依据、时间进度安排等; 评估内容、实施方法以及需使用的软硬件工具; C) 风险管理措施: d 人员安排、项目管理制度; e)被评估方需要配合的事项清单。
评估方和被评估方确认现场评估需要的各种资源,包括评估配合人员和需要提供的软硬件条 环境。 评估方通过现场抽查进行技术验证时,需要被评估方协调抽查对象,告知其技术验证过程中 的安全风险,并做好相应的应急和备份工作。
DB23/T32792022
6.2.2.1评估方依据评估方案,通过文档查阅、人员访谈、现场抽查和技术验证等方法,对被评估方 网络安全检查工作进行评估。评估内容包括: a)准备阶段评估; 实施阶段评估; 结果反馈阶段评估; d) 检查效果评估。 6.2.2.2评估方将评估过程中获得的信息进行详细、准确记录,并与被评估方进行现场确认。 6.2.2.3采用技术验证方法进行评估时,应充分考虑可能引入的安全风险,以选择合适的技术方法 尽量降低对且标系统造成的影响
d)检查效果评估。 6.2.2.2评估方将评估过程中获得的信息进行详细、准确记录,并与被评估方进行现场确认。 6.2.2.3采用技术验证方法进行评估时,应充分考虑可能引入的安全风险,以选择合适的技术方法 尽量降低对目标系统造成的影响
6. 2. 3汇总分析
评估方应及时对评估结果进行梳理、汇总,对遗漏和需进一步验证的内容加以补充,对发现的问题 进行分析,对被评估方的网络安全检查效果给予综合分析评价,
6. 2. 4 编制报告
评估方就评估结果给出评估结论,并编制评估报告
.1.1网络安全检查准
评估方查看被评估方网络安全检查准备阶段的相关材料并实施评估,评估内容包括但不限于: a. 网络安全检查开展依据,包括相关法律法规、政策文件和标准规范等; b) 网络安全检查工作管理制度的制定情况; C 网络安全检查工作组组建情况以及具体分工和职责: d 网络安全检查前期调研情况; 网络安全检查方案的制定情况,是否对检查范围、对象、时间进度安排、检查内容、实施方 法、需使用的软硬件工具、风险管理措施等内容进行明确说明; 与被检查方签署保密协议情况。如委托第三方开展检查,查看第三方是否具备相应资质,是 否与第三方签署保密协议: 前期通过远程检测查找网络安全漏洞和隐患情况,开展远程检测前是否已告知被检查方。
7.2.1网络安全检查实施阶段的评估主要采用文档查阅、人员访谈等方法。
2.1网络安全检查实施阶段的评估主要采用文档查阅、人员访谈等方法。
《高性能混凝土应用技术规程 CECS 207:2006》DB23/T32792022
7.3结果反馈阶段评估
7.3.1网络安全检查结果反馈阶段的评估主要采用文档查阅、人员访谈等方法。
a 网络安全检查工作情况和网络安全检查报告的反馈情况: b) 网络安全检查报告是否能够准确反映出被检查方网络安全防护现状,对检查结果的说明 全面,整改建议是否具备可操作性。
评估方对评估工作进行全面总结,编制评估报告,报告内容包含但不限于: 工作概述,被评估方基本信息,评估过程及评估结果的概括描述,对被评估方网络安全检查 工作的总体评价及主要建议; 结果说明,评估内容及其评估结果的详细描述; 问题分析,通过对网络安全检查全流程进行评估,汇总分析存在的问题及其可能造成的影响; 综合评价,结合被评估方实际业务情况,综合评价被评估方的网络安全检查工作; 整改建议,针对评估中发现的问题,提出解决措施和整改建议,并对进一步提升网络安全检 查水平提出建议。
《既有社区绿色化改造技术标准 JGJ/T425-2017》DB23/T32792022