|
|
|
|
|
|
来源: 发布日期:2019.08.23 点击量:
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(等保2.0)发布后,为了更好地提升全国等级保护测评体系的技术能力,统一测评机构对网络安全风险的评判尺度,由中关村信息安全测评联盟组织,上海市信息安全测评认证中心主笔,编写了等保测评行业指引性文件——《网络安全等级保护测评高风险判定指引》。本指引是依据《信息安全技术 网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。
《高风险判定指引》全文共分安全物理环境高危风险、安全通信网络高危风险、安全区域边界高危风险、安全计算环境高危风险、安全区域边界(集中管理中心)高危风险五大层面对网络安全问题及其处置展开了陈述。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。
例:
机房出入口控制措施
对应要求 :
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
判例内容 :
机房出入口区域无任何访问控制措施,机房无电子或机械门锁,机房入口也无专人值守;办公或外来人员可随意进出机房,无任何管控、监控措施,存在较大安全隐患,可判高风险。
适用范围:
所有系统。
满足条件(同时):
1、机房出入口区域无任何访问控制措施;
2、机房无电子或机械门锁,机房入口也无专人值守;
3、办公或外来人员可随意进出机房,无任何管控、监控措施。
补偿措施 :
如机房无电子门禁系统,但有其他防护措施,如机房出入配备24小时专人值守,采用摄像头实时监控等,可酌情降低风险等级。
整改建议:
机房出入口配备电子门禁系统,通过电子门禁鉴别、记录进入的人员信息。
在判定过程中,使用者应知晓《高风险判定指引》是基于“一般场景”假设的编制思路。在具体风险判定中,应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”。如初步符合“适用范围”、“需满足的条件”后,还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度,鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入分析。
下面的《基本要求与判例对应表》中描述了高风险项的等级保护基本要求、对应案例、适用范围。企业可对照如下《基本要求与判例对应表》,避免存在高危风险安全问题,如若存在高危风险项则会对企业的等保测评产生重大不利影响。
更多关于等保2.0的相关内容或业务需求请持续关注我们。
详情请咨询:
电话:021-62101209-811/17721199231
邮件:mkt@aryasec.com
相关新闻:
