0


tiseaa 001-2020 网络安全等级保护测评高风险判定指引

tiseaa 001-2020 网络安全等级保护测评高风险判定指引

对于《网络安全法》及其实施条例中规定的关键信息基础设施、网络运营者、网络产品和服务等,要进行等级保护测评。《网络安全等级保护测评管理办法》(CJJ 63-2018)规定,测评结果应根据风险等级划分为高、中、低三个等级,其中高风险等级是最高等级,需要采取最严格的防护措施。

而《网络安全等级保护测评高风险判定指引》(t/iseaa 001-2020)则提供了判定高风险等级的详细指引,具体如下:

1.重要性指标

(1)网络安全风险的严重后果指标:

① 泄露重要信息:造成用户个人信息、企业重要数据、政府敏感信息等泄露,可能导致重大的社会、政治、经济风险。

② 服务中断:造成企业生产经营、政府运行管理、社会公共服务中断,可能导致社会不稳定因素的出现。

③ 资金损失:造成用户的财产损失,或者企业的经济损失,严重影响企业正常经营。

(2)网络安全风险发生的概率指标:

① 风险发生的可能性。

② 风险的传播范围和影响程度。

2.测评实施情况指标

(1)测评结果不符合规定的安全等级标准。

(2)测评过程中存在不符合规定的操作行为。

(3)测评人员对安全事件响应处理不当,导致安全事件扩大或者后果严重。

(4)测评人员对漏洞或者安全风险认识不够深入,对于重要漏洞或者风险未能发现或者发现后没有充分发挥其价值。

综合以上指标,当满足以下任意一条或多条时,可判定为高风险等级:

(1)重要性指标中任意一条严重后果指标的分值≥90分。

(2)重要性指标中任意两条指标分值之和≥150分。

(3)测评实施情况指标中任意一条分值≥60分。

以下以示例的形式来具体讲解高风险判定指引的应用:

假设某企业有一项关键信息基础设施需要进行等级保护测评,测评时发现
1.重要性指标

(1)网络安全风险的严重后果指标:

① 泄露重要信息:该项基础设施涉及用户个人信息、企业重要数据、政府敏感信息等,泄露可能导致重大的社会、政治、经济风险。评分为90分。

② 服务中断:该项基础设施的服务中断可能导致企业生产经营、政府运行管理、社会公共服务中断,评分为80分。

③ 资金损失:该项基础设施可能会影响用户的财产和企业的经济损失,但评分为60分,因为该项指标与该基础设施的功能和服务相关性不太强。

(2)网络安全风险发生的概率指标:

① 风险发生的可能性:基于已有的安全防护措施和安全管理实践,该基础设施的风险发生可能性为60分。

② 风险的传播范围和影响程度:该基础设施的影响范围比较局限,传播范围和影响程度评分为50分。

2.测评实施情况指标

(1)测评结果不符合规定的安全等级标准:该项基础设施的测评结果未能达到规定的安全等级标准,评分为50分。

(2)测评过程中存在不符合规定的操作行为:在测评过程中发现存在一些不符合规定的操作行为,评分为40分。

(3)测评人员对安全事件响应处理不当,导致安全事件扩大或者后果严重:在测评过程中发现存在一些安全事件响应处理不当的情况,评分为30分。

(4)测评人员对漏洞或者安全风险认识不够深入,对于重要漏洞或者风险未能发现或者发现后没有充分发挥其价值:在测评过程中发现存在一些漏洞和风险未能充分发挥其价值的情况,评分为20分。

根据上述指标,该基础设施的总分为:90 + 80 + 60 + 60 + 50 + 40 + 30 + 20 = 430分。

综合以上指标,根据高风险等级的判定指引,该项基础设施可判定为高风险等级,因为:

(1)重要性指标中任意

一项指标的得分达到90分以上;

(2)测评实施情况指标总得分达到240分以上。

此时,应该对该基础设施进行加强安全防护和管理,以减少网络安全风险的发生。例如,可以加强安全培训和意识教育,加强漏洞扫描和修复,增加网络入侵检测和防御能力等。

此外,还可以采取一些技术措施来提高基础设施的安全性,比如:

强化访问控制:合理设置访问权限和账号密码策略,限制用户的访问范围,防止未经授权的访问。

加密数据传输:使用SSL/TLS等安全协议对数据进行加密传输,防止数据在传输过程中被窃听或篡改。

实施防火墙策略:配置网络防火墙,限制网络通信,防止来自外部网络的攻击和恶意流量。

进行定期备份:建立备份策略,定期对关键数据和系统进行备份,以防止数据丢失或遭受勒索软件攻击。

强化日志管理:建立日志管理和审计机制,记录关键系统和应用的操作日志,及时发现和处理异常行为。

总之,在进行网络安全等级保护测评时,要全面评估基础设施的风险等级,制定相应的安全保护措施,不断提高安全防护和管理水平,保障信息系统的安全和稳定运行。

标签: web安全 网络 安全

本文转载自: https://blog.csdn.net/dm1901/article/details/129874632
版权归原作者 中年老码农 所有, 如有侵权,请联系我们删除。

“tiseaa 001-2020 网络安全等级保护测评高风险判定指引”的评论:

还没有评论