等保2.0管理部分测评高风险汇总
适用范围
《网络安全等级保护测评高风险判定指引》是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。
9安全管理制度
9.1管理制度
9.1.1管理制度建设:
对应要求:应对安全管理活动中的各类管理内容建立安全管理制度。
判例内容:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统的,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、未建立任何与安全管理活动相关的管理制度。
2、相关管理制度无法适用于当前被测系统。
补偿措施:无。
整改建议:建议按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度。
10.1岗位设置
10.1.1网络安全领导小组建立:
11.1产品采购和使用
11.1.1网络安全产品采购和使用:
11.1.2密码产品与服务采购和使用:
11.2外包软件开发
11.2.1外包开发代码审计:
11.3测试验收
11.3.1上线前安全测试:
12.1漏洞和风险管理
12.1.1安全漏洞和隐患的识别与修补:
12.2网络和系统安全管理
12.2.1重要运维操作变更管理:
12.2.2运维工具的管控:
12.2.3运维外联的管控:
12.3恶意代码防范管理
12.3.1外来接入设备恶意代码检查:
12.4变更管理
12.4.1需求变更管理:
12.5备份与恢复管理
12.5.1数据备份策略:
对应要求:应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
判例内容:未明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,无法实现重要数据的定期备份与恢复性测试,一旦系统出现故障,需要恢复数据,存在无数据可恢复的情况,或者备份的数据未经过恢复性测试,无法确保备份的数据可用,可判定为高危风险。此外,如有相关制度,但未实施,视为制度内容未落实,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份。
补偿措施:
1、未建立相关数据备份制度,但若已实施数据备份措施,且备份机制符合业务需要,可酌情降低风险等级。
2、如系统还未正式上线,则可检查是否制定了相关的管理制度,目前的技术措施(如环境、存储等)是否可以满足制度中规定的备份恢复策略要求,可根据实际情况判断风险等级。
整改建议:建议制定备份与恢复相关的制度,明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,实现重要数据的定期备份与恢复性测试,保证备份数据的高可用性与可恢复性。
12.6应急预案管理
12.6.1应急预案制定:
对应要求:应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。
判例内容:未制定重要事件的应急预案,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程,造成应急响应时间增长,导致系统不能在最短的事件内进行恢复,可判定为高风险。
适用范围:所有系统。
满足条件:未制定重要事件的应急预案。
补偿措施:如制定了应急预演,但内容不全,可根据实际情况,酌情降低风险等级。
整改建议:建议制定重要事件的应急预案,明确重要事件的应急处理流程、系统恢复流程等内容,并对应急预案进行演练。
12.6.2应急预案培训演练: