tiseaa 001-2020 网络安全等级保护测评高风险判定指引

tiseaa 001-2020 网络安全等级保护测评高风险判定指引

对于《网络安全法》及其实施条例中规定的关键信息基础设施、网络运营者、网络产品和服务等，要进行等级保护测评。《网络安全等级保护测评管理办法》（CJJ 63-2018）规定，测评结果应根据风险等级划分为高、中、低三个等级，其中高风险等级是最高等级，需要采取最严格的防护措施。

而《网络安全等级保护测评高风险判定指引》（t/iseaa 001-2020）则提供了判定高风险等级的详细指引，具体如下：

1.重要性指标

（1）网络安全风险的严重后果指标：

① 泄露重要信息：造成用户个人信息、企业重要数据、政府敏感信息等泄露，可能导致重大的社会、政治、经济风险。

② 服务中断：造成企业生产经营、政府运行管理、社会公共服务中断，可能导致社会不稳定因素的出现。

③ 资金损失：造成用户的财产损失，或者企业的经济损失，严重影响企业正常经营。

（2）网络安全风险发生的概率指标：

① 风险发生的可能性。

② 风险的传播范围和影响程度。

2.测评实施情况指标

（1）测评结果不符合规定的安全等级标准。

（2）测评过程中存在不符合规定的操作行为。

（3）测评人员对安全事件响应处理不当，导致安全事件扩大或者后果严重。

（4）测评人员对漏洞或者安全风险认识不够深入，对于重要漏洞或者风险未能发现或者发现后没有充分发挥其价值。

综合以上指标，当满足以下任意一条或多条时，可判定为高风险等级：

（1）重要性指标中任意一条严重后果指标的分值≥90分。

（2）重要性指标中任意两条指标分值之和≥150分。

（3）测评实施情况指标中任意一条分值≥60分。

以下以示例的形式来具体讲解高风险判定指引的应用：

假设某企业有一项关键信息基础设施需要进行等级保护测评，测评时发现
1.重要性指标

（1）网络安全风险的严重后果指标：

① 泄露重要信息：该项基础设施涉及用户个人信息、企业重要数据、政府敏感信息等，泄露可能导致重大的社会、政治、经济风险。评分为90分。

② 服务中断：该项基础设施的服务中断可能导致企业生产经营、政府运行管理、社会公共服务中断，评分为80分。

③ 资金损失：该项基础设施可能会影响用户的财产和企业的经济损失，但评分为60分，因为该项指标与该基础设施的功能和服务相关性不太强。

（2）网络安全风险发生的概率指标：

① 风险发生的可能性：基于已有的安全防护措施和安全管理实践，该基础设施的风险发生可能性为60分。

② 风险的传播范围和影响程度：该基础设施的影响范围比较局限，传播范围和影响程度评分为50分。

2.测评实施情况指标

（1）测评结果不符合规定的安全等级标准：该项基础设施的测评结果未能达到规定的安全等级标准，评分为50分。

（2）测评过程中存在不符合规定的操作行为：在测评过程中发现存在一些不符合规定的操作行为，评分为40分。

（3）测评人员对安全事件响应处理不当，导致安全事件扩大或者后果严重：在测评过程中发现存在一些安全事件响应处理不当的情况，评分为30分。

（4）测评人员对漏洞或者安全风险认识不够深入，对于重要漏洞或者风险未能发现或者发现后没有充分发挥其价值：在测评过程中发现存在一些漏洞和风险未能充分发挥其价值的情况，评分为20分。

根据上述指标，该基础设施的总分为：90 + 80 + 60 + 60 + 50 + 40 + 30 + 20 = 430分。

综合以上指标，根据高风险等级的判定指引，该项基础设施可判定为高风险等级，因为：

（1）重要性指标中任意

一项指标的得分达到90分以上；

（2）测评实施情况指标总得分达到240分以上。

此时，应该对该基础设施进行加强安全防护和管理，以减少网络安全风险的发生。例如，可以加强安全培训和意识教育，加强漏洞扫描和修复，增加网络入侵检测和防御能力等。

此外，还可以采取一些技术措施来提高基础设施的安全性，比如：

强化访问控制：合理设置访问权限和账号密码策略，限制用户的访问范围，防止未经授权的访问。

加密数据传输：使用SSL/TLS等安全协议对数据进行加密传输，防止数据在传输过程中被窃听或篡改。

实施防火墙策略：配置网络防火墙，限制网络通信，防止来自外部网络的攻击和恶意流量。

进行定期备份：建立备份策略，定期对关键数据和系统进行备份，以防止数据丢失或遭受勒索软件攻击。

强化日志管理：建立日志管理和审计机制，记录关键系统和应用的操作日志，及时发现和处理异常行为。

总之，在进行网络安全等级保护测评时，要全面评估基础设施的风险等级，制定相应的安全保护措施，不断提高安全防护和管理水平，保障信息系统的安全和稳定运行。