中共沈阳市委网络安全和信息化委员会办公室宣布提出并归口管理,同时负责标准的宣贯、监督实施等工作。由东软集团股份有限公司、东北大学、辽宁省信息安全与软件测评认证中心、沈阳赛宝科技服务有限公司、沈阳欣欣晶智计算机安全检测技术有限公司等多家单位共同参与起草的《网络安全管理评估规范》(DB2101/T0030—2021)地方标准,于2021年7月1日发布,并于2021年8月1日正式实施。
中共沈阳市委网络安全和信息化委员会办公室宣布提出并归口管理,同时负责标准的宣贯、监督实施等工作。由东软集团股份有限公司、东北大学、辽宁省信息安全与软件测评认证中心、沈阳赛宝科技服务有限公司、沈阳欣欣晶智计算机安全检测技术有限公司等多家单位共同参与起草的《网络安全管理评估规范》(DB2101/T0030—2021)地方标准,于2021年7月1日发布,并于2021年8月1日正式实施。
《网络安全管理评估规范》列出了网络运营者在网络安全评估方面的流程、程序,定义了评估的主要内容。
评估流程分为工作准备、工作实施和结果反馈三个阶段,其中工作准备阶段是对评估实施有效性的保证,是评估工作的开始;工作实施阶段是对评估活动中涉及的评估内容进行判定,同时基于获得的各类信息进行关联分析,计算风险值,并综合评估整体安全状况出具评估报告;结果反馈阶段是对评估实施质量判定的过程,是评估工作的终止。
评估程序是围绕评估工作的全生命周期,根据不同阶段的工作事项,为达到相应评估目的应采取的手段和行为方式,用于规范和指导评估者开展和落实网络安全评估具体工作。
评估内容主要包括法律法规合规、行业领域要求、安全管理措施、安全技术措施、技术检测等方面的评估,通过文档查阅、现场访谈等方法,检查被评估方是否遵从法律、法规和政策标准的相关要求,是否存在安全漏洞和安全隐患
1、范围
本文件给出了网络安全评估工作的评估流程、评估程序和评估内容。
本文件适用于有关部门开展网络安全评估工作参考;网络运营者自行开展网络安全评估工作参考;网络安全服务机构对网络运营者提供咨询、检测、评估等服务参考;网络安全检测产品及服务研发机构研发检查工具、安全咨询服务、创新安全应用参考。
2、规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
GB/T 25069 信息安全技术 术语
GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
GB/T 35273-2020 信息安全技术 个人信息安全规范