ICS 35.030 CCS L 80 黑 23 龙 江 省 地 方 标 准 DB23/T 3279—2022 网络安全检查工作评估指南 2022-07-07 发布 2022-08-06 实施 黑龙江省市场监督管理局  发 布 DB23/T 3279—2022 目 次 前言 .................................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 评估原则 ............................................................................ 1 5 评估方法 ............................................................................ 2 5.1 5.2 5.3 5.4 6 评估流程 ............................................................................ 2 6.1 6.2 6.3 7 工作准备 ........................................................................ 2 工作实施 ........................................................................ 3 结果反馈 ........................................................................ 4 评估内容 ............................................................................ 4 7.1 7.2 7.3 7.4 8 文档查阅 ........................................................................ 2 人员访谈 ........................................................................ 2 现场抽查 ........................................................................ 2 技术验证 ........................................................................ 2 准备阶段评估 .................................................................... 4 实施阶段评估 .................................................................... 4 结果反馈阶段评估 ................................................................ 5 检查效果评估 .................................................................... 5 评估报告 ............................................................................ 5 参考文献 ............................................................................... 6 I DB23/T 3279—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位：国家计算机网络应急技术处理协调中心黑龙江分中心、黑龙江省智慧城市建设协 会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。 本文件主要起草人：吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵 玉明、刘勇。 II DB23/T 3279—2022 网络安全检查工作评估指南 1 范围 本文件给出了网络安全检查评估工作的术语和定义、评估原则、评估方法、评估流程、评估内容和 评估报告。 本文件适用于黑龙江省网信部门开展网络安全检查的评估工作。其他相关部门开展网络安全检查的 评估工作和网络运营者开展网络安全自查的评估工作可参照执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 《中华人民共和国网络安全法》 3 术语和定义 下列术语和定义适用于本文件。 3.1 网络安全 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 [来源：《中华人民共和国网络安全法》，第76条] 3.2 网络安全检查 由上级主管机关或相关职能部门发起的，依据国家有关法律、法规和标准，对信息系统安全状况及 其管理情况进行检查的活动。 3.3 评估方 对网络安全检查工作实施评估的组织机构。 3.4 被评估方 开展网络安全检查工作后被评估的组织机构。 3.5 被检查方 网络安全检查工作中被检查的组织机构。 4 评估原则 1 DB23/T 3279—2022 评估方应依据国家、行业的有关要求，包括法律法规、政策文件和标准规范等，坚持客观、公正的 原则，采用科学的评估方法，规范流程，控制风险，如实反映评估结果。 5 评估方法 5.1 文档查阅 评估方查阅被评估方实施网络安全检查的依据、管理制度、方案以及检查实施过程中产生的记录、 总结报告等全部文件资料，评估其合规性、合理性及完整性。 5.2 人员访谈 评估方应在评估实施之前准备好调查表或访谈表，通过人员访谈的方式补充文档查阅过程中未被发 现的细节，以进一步完善评估结果。 5.3 现场抽查 评估方结合被评估方网络安全检查结果，以现场抽查的方式选取部分被检查方，验证检查结果的准 确性。 5.4 技术验证 评估方通过远程技术检测、漏洞扫描、入侵检测、日志分析、协议分析、恶意代码检测、渗透测试 等必要的技术手段对技术部分检查结果的准确性进行验证。 6 评估流程 6.1 6.1.1 工作准备 确定评估目标 评估方根据评估工作的背景、依据和原则，在充分调研被评估方所属行业的政策文件及相关标准基 础上，明确评估范围及内容，并制定评估工作计划。 6.1.2 组建评估团队 6.1.2.1 评估团队由评估领导小组、评估工作组和专家组组成。 6.1.2.2 评估领导小组由评估方和被评估方领导及双方有关部门负责人组成，评估领导小组主要负责 的工作包括但不限于： a) 决策评估工作的目的、目标； b) 参与并指导评估准备阶段的启动会议； c) 协调评估实施过程中的各项资源； d) 组织评估项目验收会议； e) 推进并监督风险处理工作。 6.1.2.3 评估工作组由评估方、技术支撑机构组成，评估工作组主要负责评估工作的具体实施，包括 但不限于： a) 完成评估前的表格、文档、评估工具等各项准备工作； 2 DB23/T 3279—2022 b) 开展评估技术培训和保密教育； c) 制定评估过程管理相关制度； d) 编制应急预案； e) 实施评估。 6.1.2.4 专家组由聘请相关专业的技术专家和技术骨干组成，专家组主要负责为评估工作组提供技术 咨询，工作内容包括但不限于： a) 协助规划评估项目总体工作思路和方向； b) 对出现的关键性难点问题进行决策； c) 对评估结论进行确定。 6.1.3 召开启动会议 启动会议由评估领导小组组织，各相关方参加。启动会议的主要内容如下： a) 确定此次评估工作的意义、目的、目标以及责任分工； b) 说明本次评估工作的计划和各阶段工作任务，以及需要配合的具体事项； c) 介绍评估工作具体方法和工作内容等。 6.1.4 开展评估调研 评估方对被评估方现状进行调研，调研内容包括但不限于： a) 网络安全检查开展依据； b) 网络安全检查工作负责部门及工作组的组织架构； c) 网络安全检查管理制度； d) 网络安全检查方案； e) 网络安全检查实施过程中产生的文件化信息，包括但不限于检查记录、总结报告等全部文档 资料； f) 形成调研结果报告。 6.1.5 制定评估方案 评估方结合被评估方的具体情况和调研结果报告，依据本文件要求，编制评估方案，方案内容包括 但不限于： a) 评估目标、范围、依据、时间进度安排等； b) 评估内容、实施方法以及需使用的软硬件工具； c) 风险管理措施； d) 人员安排、项目管理制度； e) 被评估方需要配合的事项清单。 6.2 6.2.1 工作实施 实施准备 6.2.1.1 评估方和被评估方确认现场评估需要的各种资源，包括评估配合人员和需要提供的软硬件条 件及工作环境。 6.2.1.2 评估方通过现场抽查进行技术验证时，需要被评估方协调抽查对象，告知其技术验证过程中 可能存在的安全风险，并做好相应的应急和备份工作。 3 DB23/T 3279—2022 6.2.1.3 如果评估活动是由有关部门发起并委托安全服务机构进行的，安全服务机构应满足相关资质 要求并获得委托方的书面授权。 6.2.2 现场实施 6.2.2.1 评估方依据评估方案