等级保护2.0标准发布后,为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度,由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司等机构共同参与编写了等保测评行业指引性文件——《网络安全等级保护测评高风险判定指引》(简称“判定指引”)。
《判定指引》的适用范围:
1、用于指导测评机构在测评活动中对高风险问题的判定;
2、用于行业主管部门开展的安全检查;
3、作为“负面清单”供运营单位在按照等级保护2.0标准开展系统设计、开发、建设、维护等过程中参考。
在具体风险判定中,应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”。如初步符合“适用范围”、“需满足的条件”后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入分析。要根据实际情况进行合理判定,切勿死搬硬套。
本篇文章的主要内容为《网络安全等级保护测评高风险判定指引》的附表:基本要求与判例对应表中技术部分高危风险。
一、安全物理环境高危风险
二、安全通信网络高危风险
三、安全区域边界高危风险
四、安全计算环境高危风险
五、安全区域边界(集中管理中心)高危风险
以上高危风险项目大家可以各自进行对照,避免自己的系统有以上的风险,高危风险在等保测评中是拥有一票否决权的,即使其他方面做得很好,一旦出现高危风险,则测评结论将直接从不符合(差)开始。
声明:我们推送的每一篇文章,都会注明来源和作者,版权归原作者所有,仅供分享学习,不做商业用途。若未能找到作者和原始出处还望谅解;如有侵权,请联系本微信后台,我们会在第一时间删除并致歉。
IT综合服务商
智慧旅游解决方案专家
