标准解读

《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引》是针对网络安全等级保护工作中,对系统或网络存在的高风险进行评估与判断的一份标准文件。该标准旨在为网络安全等级保护测评机构提供一个统一的、可操作性强的风险评估方法,确保在不同场景下对于高风险项的识别和处理能够保持一致性和准确性。

根据这份标准,高风险被定义为可能直接导致信息系统遭受严重损害(如数据泄露、服务中断等)的安全漏洞或配置不当情况。标准中详细列举了多种情况下应如何判定是否存在高风险,并提供了具体的案例分析来帮助理解实际应用中的具体情形。例如,在身份认证机制方面,如果发现存在弱口令或者密码存储方式不安全等问题,则会被认为构成了高风险;又比如,在访问控制策略上,如果没有严格限制敏感信息的访问权限,同样会被视为高风险因素之一。

此外,《T/ISEAA 001-2020》还特别强调了物理环境安全的重要性,指出数据中心等地如果没有采取适当措施防止未经授权的人员进入,也将被视为一种高风险状况。同时,标准也关注到了应急响应计划的有效性,缺乏有效的备份恢复方案或是应急预案不完备,都被明确指出可能会给组织带来重大损失,因此也被归类为高风险类别。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-11-05 颁布
  • 2020-12-01 实施
©正版授权
T/ISEAA 001-2020网络安全等级保护测评高风险判定指引_第1页
T/ISEAA 001-2020网络安全等级保护测评高风险判定指引_第2页
T/ISEAA 001-2020网络安全等级保护测评高风险判定指引_第3页
T/ISEAA 001-2020网络安全等级保护测评高风险判定指引_第4页
T/ISEAA 001-2020网络安全等级保护测评高风险判定指引_第5页
免费预览已结束,剩余35页可下载查看

下载本文档

T/ISEAA 001-2020网络安全等级保护测评高风险判定指引-免费下载试读页

文档简介

ICS35040

L80.

团体标准

T/ISEAA001—2020

网络安全等级保护测评高风险判定指引

Highriskassessmentguidelinesforclassifiedprotection

evaluationofcybersecurity

2020-11-05发布2020-12-01实施

中关村信息安全测评联盟发布

T/ISEAA001—2020

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

判例概述

5.1……………2

判定原则

5.2……………2

场景释义

5.3……………3

高风险判例

6………………3

安全物理环境

6.1………………………3

安全通信网络

6.2………………………4

安全区域边界

6.3………………………7

安全计算环境

6.4………………………9

安全管理中心

6.5………………………18

安全管理制度和机构

6.6………………19

安全管理人员

6.7………………………19

安全建设管理

6.8………………………20

安全运维管理

6.9………………………21

附录资料性附录中第三级安全要求与本文件判例对应关系

A()GB/T22239—2019……………24

附录资料性附录高风险判例整改建议

B()……………29

参考文献

……………………35

T/ISEAA001—2020

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则给出的

GB/T1.1—2020《1:》

规则起草

本文件由中关村信息安全测评联盟提出并归口

本文件起草单位上海市信息安全测评认证中心国家网络与信息系统安全产品质量监督检验中

:、

心江苏金盾检测技术有限公司江苏骏安信息测评认证有限公司山东新潮信息技术有限公司合肥天

、、、、

帷信息安全技术有限公司深圳市网安计算机安全检测技术有限公司杭州安信检测技术有限公司成

、、、

都安美勤信息技术股份有限公司甘肃安信信息安全技术有限公司教育信息安全等级保护测评中心

、、、

辽宁浪潮创新信息技术有限公司银行卡检测中心安徽祥盾信息科技有限公司

、、。

本文件主要起草人金铭彦罗峥张笑笑刘静徐御陈清明陆臻陈妍吴晓艳何欣峰许晓晨

:、、、、、、、、、、、

张杰武建双牛建红倪祥焕何志鹏严维兵王永琦范仲伟武斌杨凌珺盛璐禕

、、、、、、、、、、。

T/ISEAA001—2020

引言

等级保护测评是推动和贯彻网络安全等级保护工作的重要环节之一为了更好地提升全国等级保

护测评机构的能力规范测评机构对网络安全风险严重程度的判定规则中关村信息安全测评联盟组织

,,

编写本等级保护测评行业指引性文件旨在促进安全风险判定更加标准化规范化从而更好地规范等

,、,

级保护测评活动提升等级保护测评工作质量

,。

本文件依据信息安全技术网络安全等级保护基本要求中第二级及以上安

GB/T22239—2019《》

全通用要求及云计算安全扩展要求中的基本原则对测评过程中发现的安全性问题如何进行高风险判

,

定给出指引

本文件仅考虑一般系统场景无法涵盖所有行业及特殊场景实际测评活动中应根据安全问题所处

,,

的环境面临的威胁已采取的措施并结合本文件内容做出客观科学合理的判定

、、,、、。

T/ISEAA001—2020

网络安全等级保护测评高风险判定指引

1范围

本文件适用于网络安全等级保护测评安全检查等活动

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

计算机场地通用规范

GB/T2887—2011

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术术语

GB/T25069—2010

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术网络安全等级保护测评要求

GB/T28448—2019

信息安全技术云计算服务安全能力要求

GB/T31168—2014

信息安全技术个人信息安全规范

GB/T35273—2020

3术语和定义

和界定的以及下列

GB17859—1999、GB/T25069—2010、GB/T31168—2014GB/T22239—2019

术语和定义适用于本文件

31

.

高可用性系统

可用性大于或等于年度停机时间小于或等于的系统例如银行证券非银行支付

99.9%,8.8h,,、、

机构互联网金融等交易类系统提供公共服务的民生类系统工业控制类系统云计算平台等

、,,,。

32

.

关键网络设备

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论