DB2101/T ICS 35.040 CCS L 80 沈 阳 市 地 方 标 准 DB2101/T 0030—2021 网络安全管理评估规范 Specifications for network security management assessment 2021-07-01 发布 沈阳市市场监督管理局 2021-08-01 实施 发 布 DB2101/T 0030—2021 目  次 前言..................................................................................................................................................................... II 引言................................................................................................................................................................... III 1 范围................................................................................................................................................................... 1 2 规范性引用文件............................................................................................................................................... 1 3 术语和定义....................................................................................................................................................... 1 4 缩略语............................................................................................................................................................... 1 5 评估流程........................................................................................................................................................... 1 6 评估程序........................................................................................................................................................... 2 6.1 工作准备阶段........................................................................................................................................... 3 6.2 工作实施阶段........................................................................................................................................... 7 6.3 结果反馈阶段........................................................................................................................................... 9 7 评估内容........................................................................................................................................................... 9 7.1 法律法规合规评估................................................................................................................................... 9 7.2 行业领域要求评估................................................................................................................................. 10 7.3 安全管理措施评估................................................................................................................................. 10 7.4 安全技术措施评估................................................................................................................................. 13 7.5 技术检测评估......................................................................................................................................... 16 附录 A（资料性）记录表.................................................................................................................................. 17 附录 B（资料性）风险分析模型...................................................................................................................... 19 附录 C（资料性）评估报告模板示例..............................................................................................................20 参考文献............................................................................................................................................................. 31 I DB2101/T 0030—2021 前  言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由中共沈阳市委网络安全和信息化委员会办公室提出并归口，同时负责标准的宣贯、监督实 施等工作。 本文件起草单位：东软集团股份有限公司、东北大学、辽宁省信息安全与软件测评认证中心、沈阳 赛宝科技服务有限公司、沈阳欣欣晶智计算机安全检测技术有限公司。 本文件主要起草人：张泉、陈静相、路娜、王华铎、葛长龙、杨菲菲、周福才、郭剑锋、赵英科、 金鑫、纪德海、文军日、金玉平。 文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电、来函等方式进行反馈， 我们将及时答复并认真处理，根据实施情况依法进行评估及复审。 本文件归口部门联系电话：024-22821200；联系地址：沈阳市浑南区沈中大街 206-1 号。 本文件起草单位联系电话：18640508881；联系地址：沈阳市浑南新区新秀街 2 号。 II DB2101/T 0030—2021 引  言 为落实《中华人民共和国网络安全法》相关要求，解决地区产业结构差异、地区性共性及有代表性 的个性化网络安全问题，通过制定《网络安全管理评估规范》标准，规范有关部门开展网络安全评估工 作，充分掌握各级关键行业网络运营者的安全风险和防护状况。制定本标准旨在以查促建、促管、促改、 促防，最终推动关键行业网络运营者安全责任制和网络安全防范体系的建立和落实，保障关键行业信息 系统安全稳定运行。 《网络安全管理评估规范》列出了网络运营者在网络安全评估方面的流程、程序，定义了评估的主 要内容。 评估流程分为工作准备、工作实施和结果反馈三个阶段，其中工作准备阶段是对评估实施有效性的 保证，是评估工作的开始；工作实施阶段是对评估活动中涉及的评估内容进行判定，同时基于获得的各 类信息进行关联分析，计算风险值，并综合评估整体安全状况出具评估报告；结果反馈阶段是对评估实 施质量判定的过程，是评估工作的终止。 评估程序是围绕评估工作的全生命周期，根据不同阶段的工作事项，为达到相应评估目的应采取的 手段和行为方式，用于规范和指导评估者开展和落实网络安全评估具体工作。 评估内容主要包括法律法规合规、行业领域要求、安全管理措施、安全技术措施、技术检测等方面 的评估，通过文档查阅、现场访谈等方法，检查被评估方是否遵从法律、法规和政策标准的