DB64/T 2118-2025 网络安全和网络数据安全风险评估规范
- 文件大小:1.14 MB
- 标准类型:综合地方标准
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-05-24
- 下载次数:
- 标签:
资料介绍
以下是宁夏回族自治区地方标准DB64/T 2118-2025《网络安全和网络数据安全风险评估规范》的主要内容总结:
一、适用范围
- 适用于涉网单位的互联网系统,不适用于涉密网。
- 规定网络安全和网络数据安全风险评估的基本要求、流程、方法及结果运用。
二、核心术语
- 网络:由计算机或信息终端组成的处理信息的系统。
- 网络安全:保障信息保密性、完整性和可用性。
- 风险评估:涵盖风险识别、分析和评估的全过程。
- 数据安全:通过措施确保数据合法利用与持续保护。
三、基本要求
- 客观性:评估需基于证据,客观判断安全措施有效性。
- 业务连续性:评估过程不得干扰业务正常运营。
四、评估管理
- 周期:每3年评估一次。
- 主体:监管部门、行业主管部门、第三方机构、运营单位。
- 对象:网络运营者(含自查)。
五、评估内容
(一)网络安全评估(附录A.1)
-
一级指标(共10项):
- 主体责任落实(机构设置、制度、人员、培训)
- 安全规划与自查(建设规划、正版化、自查机制)
- 人员管理(录用/离岗、培训、访问权限)
- 安全建设管理(软件开发、外包管理)
- 安全运维(资产管理、漏洞管理、备份恢复、应急演练)
- 物理环境(机房标准)
- 网络边界(防护能力、访问控制、入侵检测)
- 设备安全(身份鉴别、审计、恶意代码防范)
- 应用安全(身份验证、访问控制、数据有效性)
- 密码应用(商用密码评估)。
-
高风险项:如主体责任机构缺失、弱口令、未定期漏洞扫描等。
(二)网络数据安全评估(附录A.2)
-
一级指标(共9项):
- 通用安全(合规管理、分类分级、终端安全)
- 数据全生命周期(收集、存储、使用、传输、共享、销毁)
- 数据供应链与接口安全。
-
关键要求:数据分类分级、跨境管理、脱敏技术、供应链审核。
六、评估方式
- 管理评估:审核文档(制度、协议、记录等)。
- 技术评估:
- 工具测试:漏洞扫描、渗透测试。
- 配置检查:验证系统配置与文档一致性。
七、评估流程
- 准备阶段:成立评估组,制定方案,通知被评估单位。
- 实施阶段:
- 管理评估(文档审核)与技术评估(工具测试)。
- 高风险项需100%覆盖,其他抽样检查。
- 整改阶段:
- 高风险项强制整改,其他风险可自行处理。
- 整改后复测,确保风险等级降至中风险及以上。
- 总结阶段:编写报告并归档(保存≥3年)。
八、结果计算与等级
- 得分公式:
- 单项得分:符合(5分)、基本符合(3分)、不符合(0分)。
- 整体得分加权计算,网络安全与数据安全各占50%。
- 风险等级:
- 低风险(≥90分)
- 较低风险(80-89分)
- 中风险(70-79分)
- 高风险(<70分或存在严重漏洞)。
九、结果运用
- 高风险单位须按整改建议限期修复。
- 评估结果作为监管部门检查、行业考核的依据。
十、附录与工具
- 附录A:提供详细的评估记录表,涵盖所有三级指标及权重。
- 附录B:风险评估报告模板,用于记录结果和整改情况。
- 参考文献:包括《数据安全法》《网络安全法》等法规依据。
总结
该标准构建了系统化的风险评估框架,强调主体责任、全生命周期数据安全管理,通过量化评分和等级划分推动风险可控。适用于宁夏地区涉网单位提升安全防护能力,并为监管提供技术依据。