等保2.0管理部分測評高風險匯總
適用范圍
《網絡安全等級保護測評高風險判定指引》是依據GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》有關條款,對測評過程中所發現的安全性問題進行風險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。
9安全管理制度
9.1管理制度
9.1.1管理制度建設:
對應要求:應對安全管理活動中的各類管理內容建立安全管理制度。
判例內容:未建立任何與安全管理活動相關的管理制度或相關管理制度無法適用于當前被測系統的,可判定為高風險。
適用范圍:所有系統。
滿足條件(任意條件):
1、未建立任何與安全管理活動相關的管理制度。
2、相關管理制度無法適用于當前被測系統。
補償措施:無。
整改建議:建議按照等級保護的相關要求,建立包括總體方針、安全策略在內的各類與安全管理活動相關的管理制度。
10.1崗位設置
10.1.1網絡安全領導小組建立:
11.1產品采購和使用
11.1.1網絡安全產品采購和使用:
11.1.2密碼產品與服務采購和使用:
11.2外包軟件開發
11.2.1外包開發代碼審計:
11.3測試驗收
11.3.1上線前安全測試:
12.1漏洞和風險管理
12.1.1安全漏洞和隱患的識別與修補:
12.2網絡和系統安全管理
12.2.1重要運維操作變更管理:
12.2.2運維工具的管控:
12.2.3運維外聯的管控:
12.3惡意代碼防范管理
12.3.1外來接入設備惡意代碼檢查:
12.4變更管理
12.4.1需求變更管理:
12.5備份與恢復管理
12.5.1數據備份策略:
對應要求:應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略、備份程序和恢復程序等。
判例內容:未明確數據備份策略和數據恢復策略,以及備份程序和恢復程序,無法實現重要數據的定期備份與恢復性測試,一旦系統出現故障,需要恢復數據,存在無數據可恢復的情況,或者備份的數據未經過恢復性測試,無法確保備份的數據可用,可判定為高危風險。此外,如有相關制度,但未實施,視為制度內容未落實,可判定為高風險。
適用范圍:3級及以上系統。
滿足條件(同時):
1、3級及以上系統;
2、無備份與恢復等相關的安全管理制度,或未按照相關策略落實數據備份。
補償措施:
1、未建立相關數據備份制度,但若已實施數據備份措施,且備份機制符合業務需要,可酌情降低風險等級。
2、如系統還未正式上線,則可檢查是否制定了相關的管理制度,目前的技術措施(如環境、存儲等)是否可以滿足制度中規定的備份恢復策略要求,可根據實際情況判斷風險等級。
整改建議:建議制定備份與恢復相關的制度,明確數據備份策略和數據恢復策略,以及備份程序和恢復程序,實現重要數據的定期備份與恢復性測試,保證備份數據的高可用性與可恢復性。
12.6應急預案管理
12.6.1應急預案制定:
對應要求:應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容。
判例內容:未制定重要事件的應急預案,未明確重要事件的應急處理流程、系統恢復流程等內容,一旦出現應急事件,無法合理有序的進行應急事件處置過程,造成應急響應時間增長,導致系統不能在最短的事件內進行恢復,可判定為高風險。
適用范圍:所有系統。
滿足條件:未制定重要事件的應急預案。
補償措施:如制定了應急預演,但內容不全,可根據實際情況,酌情降低風險等級。
整改建議:建議制定重要事件的應急預案,明確重要事件的應急處理流程、系統恢復流程等內容,并對應急預案進行演練。
12.6.2應急預案培訓演練:
