T/CIQA 39-2022檢驗檢測機(jī)構(gòu)網(wǎng)絡(luò)安全工作指南

ICS35030

CCSL.80

團(tuán)體標(biāo)準(zhǔn)

T/CIQA39—2022

檢驗檢測機(jī)構(gòu)網(wǎng)絡(luò)安全工作指南

Guidelinesoncybersecurityofinspectionandtestinginstitutions

2022-07-08發(fā)布2022-09-01實施

中國出入境檢驗檢疫協(xié)會發(fā)布

T/CIQA39—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

網(wǎng)絡(luò)安全工作方法

5………………………3

概述

5.1…………………3

網(wǎng)絡(luò)安全工作方法在檢驗檢測機(jī)構(gòu)的應(yīng)用

5.2………3

網(wǎng)絡(luò)安全工作任務(wù)

6………………………6

通則

6.1…………………6

網(wǎng)絡(luò)安全等級保護(hù)

6.2…………………6

商用密碼應(yīng)用安全性評估

6.3…………7

個人信息合規(guī)審計

6.4…………………8

網(wǎng)絡(luò)安全審查

6.5………………………8

關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險評估

6.6…………………9

業(yè)務(wù)連續(xù)性管理體系認(rèn)證

6.7(BCMS)………………9

信息安全管理體系認(rèn)證

6.8(ISMS)…………………10

隱私管理體系認(rèn)證

6.9(PIMS)………………………10

數(shù)據(jù)安全管理認(rèn)證

6.10………………10

附錄資料性網(wǎng)絡(luò)安全法定義務(wù)識別指南

A()…………12

參考文獻(xiàn)

……………………16

Ⅰ

T/CIQA39—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由中國出入境檢驗檢疫協(xié)會檢驗鑒定標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(CIQA/TC1)。

本文件起草單位北京時代新威信息技術(shù)有限公司華測檢測認(rèn)證集團(tuán)股份有限公司中理檢驗有

:、、

限公司青島海檢集團(tuán)有限公司力鴻檢驗集團(tuán)有限公司嘉德信大連檢驗測試科技有限公司中國檢

、、、()、

驗認(rèn)證集團(tuán)上海有限公司中國電子科技集團(tuán)公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心中國出

、()、

入境檢驗檢疫協(xié)會進(jìn)出口商品檢驗鑒定機(jī)構(gòu)分會

。

本文件主要起草人王新杰王連強楊玉忠俞政臣杜云浩王亞濤譚新星王勛龍費楊潔

:、、、、、、、、、

童連松楊毅劉健張琳

、、、。

Ⅲ

T/CIQA39—2022

引言

網(wǎng)絡(luò)安全風(fēng)險是檢驗檢測機(jī)構(gòu)在開展檢驗檢測認(rèn)證等業(yè)務(wù)過程中的重大風(fēng)險之一如果不能有

、、。

效地管理和控制網(wǎng)絡(luò)安全風(fēng)險將導(dǎo)致檢驗檢測機(jī)構(gòu)的數(shù)據(jù)泄露業(yè)務(wù)中斷客戶投訴等重大損失甚至

,、、,

還會帶來法律責(zé)任受到民事或刑事處罰

,。

選擇正確的網(wǎng)絡(luò)安全工作方法是檢驗檢測機(jī)構(gòu)做好網(wǎng)絡(luò)安全工作的基礎(chǔ)本文件第章提出了

,。5

檢驗檢測機(jī)構(gòu)網(wǎng)絡(luò)安全工作方法的建議為檢驗檢測機(jī)構(gòu)提供參考這個方法包括建立網(wǎng)絡(luò)安全工作

,。

的目標(biāo)識別和確定網(wǎng)絡(luò)安全要保護(hù)的對象開展網(wǎng)絡(luò)安全風(fēng)險評估以及根據(jù)風(fēng)險評估結(jié)果選擇和建

,,,

設(shè)網(wǎng)絡(luò)安全控制措施

。

履行網(wǎng)絡(luò)安全的法律責(zé)任和法定義務(wù)是檢驗檢測機(jī)構(gòu)網(wǎng)絡(luò)安全工作的重要內(nèi)容截至目前我國

,。,

已經(jīng)頒布實施的網(wǎng)絡(luò)安全法律法規(guī)包括中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國密碼法中華

《》《》《

人民共和國數(shù)據(jù)安全法中華人民共和國個人信息保護(hù)法網(wǎng)絡(luò)安全審查辦法和關(guān)鍵信息基礎(chǔ)設(shè)施

》《》《》《

安全保護(hù)條例等

》。

本文件第章從檢驗檢測機(jī)構(gòu)應(yīng)承擔(dān)的網(wǎng)絡(luò)安全法律責(zé)任入手提出了檢驗檢測機(jī)構(gòu)應(yīng)該開展的

6,

具體網(wǎng)絡(luò)安全工作如網(wǎng)絡(luò)安全等級保護(hù)商用密碼應(yīng)用安全性評估數(shù)據(jù)安全保護(hù)個人信息保護(hù)網(wǎng)

,、、、、

絡(luò)安全審查和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等并提出了開展這些工作內(nèi)容的具體方法和步驟為檢驗檢測機(jī)

,,

構(gòu)提供參考

。

網(wǎng)絡(luò)安全是一項專業(yè)性很強的工作并非所有的組織都具有滿足其網(wǎng)絡(luò)安全工作要求的網(wǎng)絡(luò)安全

,

能力具有一定網(wǎng)絡(luò)安全專業(yè)能力的檢驗檢測機(jī)構(gòu)可以通過自身力量開展和落實上述具體網(wǎng)絡(luò)安全

。,

工作網(wǎng)絡(luò)安全專業(yè)能力不足的檢驗檢測機(jī)構(gòu)可以通過采購專業(yè)網(wǎng)絡(luò)安全服務(wù)的方式來實現(xiàn)其網(wǎng)絡(luò)

。,

安全目標(biāo)履行其網(wǎng)絡(luò)安全責(zé)任

,。

Ⅳ

T/CIQA39—2022

檢驗檢測機(jī)構(gòu)網(wǎng)絡(luò)安全工作指南

1范圍

本文件提供了檢驗檢測機(jī)構(gòu)開展網(wǎng)絡(luò)安全工作的指南描述了檢驗檢測機(jī)構(gòu)開展網(wǎng)絡(luò)安全工作的

,

方法規(guī)定了檢驗檢測機(jī)構(gòu)必須開展和選擇開展的網(wǎng)絡(luò)安全工作任務(wù)

,。

本文件適用于任何類型任何規(guī)模的檢驗檢測機(jī)構(gòu)的網(wǎng)絡(luò)安全工作

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

GB/T20984

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080

信息技術(shù)安全技術(shù)信息安全控制實踐指南

GB/T22081

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T22239

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南

GB/T22240

公共安全業(yè)務(wù)連續(xù)性管理體系要求

GB/T30146

公共安全業(yè)務(wù)連續(xù)性管理體系指南

GB/T31595

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273

信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T39786

ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002for

privacyinformationmanagement—Requirementsandguidelines

3術(shù)語和定義

下列術(shù)語和定義適用于本文件