网络安全等级保护测评高风险判定指引 -发布版（2020.12.1实施）

本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款，对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。 本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。 《网络安全等级保护测评高风险判定指引》是针对GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的相关标准，为网络安全等级保护测评活动提供的一项重要指导文件。该指引旨在帮助评估人员在测评过程中对发现的安全问题进行风险评估，以确定其对网络安全的影响程度。 本指引包含了以下几个关键要素： 1. 对应要求：明确各个安全等级的具体要求，确保信息系统在设计、建设和运行过程中满足不同等级的保护要求。 2. 判例内容：提供具体的案例分析，帮助理解和应用判定标准，以便在实际工作中准确识别高风险问题。 3. 适用范围：适用于网络安全等级保护测评、安全检查等活动，同时，信息系统建设单位也可以参考来制定系统的安全需求。 4. 补偿措施：对于发现的高风险问题，给出相应的补偿措施，以降低风险。 5. 整改建议：针对高风险问题，提出有效的整改措施，帮助信息系统提升安全防护能力。 在具体的应用中，指引按照GB/T 22239-2019的标准，从多个方面进行风险判定，如： - 访问控制：确保只有授权用户可以访问系统资源，防止非法入侵。 - 审计与监控：建立完善的日志记录和审计机制，以便追踪和检测异常行为。 - 加密技术：采用加密算法保护数据的机密性、完整性和可用性。 - 身份认证：确保用户身份的真实性和合法性，防止冒充。 - 安全策略：制定并执行全面的安全策略，包括风险管理、应急响应等。 - 系统安全配置：确保操作系统、网络设备等的安全配置符合要求，避免因配置不当导致的风险。 - 软件安全：关注软件开发过程中的安全，如代码审查、漏洞管理等。 - 物理与环境安全：保障设备和设施的安全，防止物理破坏或环境影响。 - 网络安全：防范网络攻击，如DDoS攻击、网络钓鱼等。 - 数据备份与恢复：定期备份数据，确保在发生灾难时能够快速恢复业务。 本指引的实施时间为2020年12月1日，由中关村信息安全测评联盟发布，其目的是提高网络安全保护的标准化和专业化水平，确保国家和企业的信息安全。通过遵循本指引，可以更有效地识别和处理网络安全高风险问题，提升整体的信息安全保障能力。