2019网络安全等级保护测评高风险判定实用指南

网络安全等级保护测评高风险判定指引（2019.06），由信息安全测评联盟发布，旨在帮助测评机构和信息系统建设单位在遵循GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的基础上，对测评过程中发现的安全性问题进行风险评估。这份76页的文件详细指导了如何处理物理安全环境、安全通信网络、安全计算环境、安全区域边界、安全管理制度、安全管理机构和安全运维管理等方面的风险。 1. 适用范围：本指引广泛应用于网络安全等级保护测评、安全检查以及信息系统建设过程中的安全需求编制，强调测评机构在面对具体安全问题时应根据实际情况作出风险判断，因为并非所有高风险案例都能在此文件中覆盖。 2. 主要内容： - 物理安全环境：涉及物理访问控制、防盗窃和破坏、防火、温湿度控制、电力供应及电磁防护等，强调确保设施的安全物理条件。 - 安全通信网络：包括网络架构、通信传输，以及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等，保证网络数据的可靠传输和保护。 - 安全计算环境：针对网络设备、安全设备、主机设备的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范，以及应用系统的各个子项，如数据完整性和保密性、备份恢复、个人信息保护等。 - 安全管理制度：涵盖了安全管理的各个方面，如制度建设、岗位设置、产品采购与使用、外包软件开发、测试验收等。 - 安全管理机构：强调了管理团队的职责，如确定岗位、产品选择、服务供应商管理等。 - 安全运维管理：涉及漏洞管理、网络和系统安全管理、恶意代码防范、变更管理、备份恢复和应急预案制定，确保系统的持续安全运行。 3. 风险判定与补偿措施：文件提供了风险判断的标准和案例，但强调测评机构应根据实际风险灵活运用，同时提供可能的补偿措施和整改建议，帮助解决遇到的安全问题。 4. 注意事项：由于具体情境的差异，测评机构不能依赖该指引来涵盖所有高风险情况，必须具备独立判断和应急处理能力。 网络安全等级保护测评高风险判定指引为组织提供了一个实用的框架，帮助他们理解和应对不同等级保护测评中可能出现的风险，提升整体网络安全防护水平。