1.3 网络安全评估标准总体结构

基于以上设计原则、设计要点和设计依据，网络安全评估标准设计输入和同行评估主体文件构成如图1-6所示。

① 《网络安全评估标准实用手册》，包括网络安全业绩目标、评估准则及其使用指引。

② 《网络安全评估实战》，包括网络安全同行评估概述、评估任务设计、评估组织和流程、评估技术和方法及实战化驱动的网络安全评估指引。

本书介绍的是《网络安全评估标准实用手册》中的内容。

评估标准以当前网络安全领域最新技术标准和行业领先实践为基准，进行集成化应用设计和角色化归类编排，其中涉及的主要标准如下。

① 《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020）。

② 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）。

③ 《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021）。

④ 《电力监控系统网络安全防护导则》（GB/T 36572—2018）。

⑤ 《金融行业网络安全等级保护实施指引第2部分：基本要求》（JR/T0071.2—2020）。

⑥ 《信息安全技术 网络安全等级测评要求》（GB/T 28448—2019）。

⑦ 《信息安全技术 网络安全等级保护测评指南》（GB/T 28449—2018）。

⑧ 《信息系统密码应用测评要求》（2020年3月）。

⑨ 《网络安全等级测评高风险判定指引》（T/ISEAA 001—2020）。

⑩ 《信息系统密码应用高风险判定指引》（2020年3月）。

⑪ 《信息安全技术 网络安全等级保护测评指南》（GB/T 28449—2018）。

⑫ 《金融行业网络安全等级保护测评指南》（JR/T0072—2020）。

⑬ 《电力监控系统网络安全评估指南》（GB/T 38318—2019）。

⑭ 《信息安全技术 工业控制系统安全检查指南》（GB/T37980—2019）。

⑮ 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070—2019）。

⑯ 《广播电视网络安全等级保护基本要求》（GY/T 352—2021）。

⑰ 《网络安全等级保护大数据基本要求》（T/ISEAA 002—2021）。

⑱ 其他有关标准或参考文件，详见参考文献。

网络安全评估标准的核心内容是网络安全业绩目标与评估准则，是基于网络安全等级保护2.0标准体系的基本要求，体现“聚焦管理、增强网络安全领导力、着力网络安全管理改进”的本质要求，体现“三分技术、七分管理”的内在要求，切实从“人的意识和行为以及管理缺陷”的角度，促进和支撑网络安全等级保护系列标准落地生根。

为便于等级保护相关标准的综合使用，本书以《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）第四级基本要求为主体架构，同时增加了网络安全领导力和网络安全监测防护两方面的内容，将网络安全“三同步”原则、“三化六防”措施、基于可信免疫和信创体系的本体安全、基于“聚焦管理改进”和“打造网络安全文化”的本质安全等理念和要求，以及国家网络安全等级保护测评要求、信息系统密码应用基本要求、网络安全保护大数据基本要求、各领域的高风险判定指引，金融和广电等行业的网络安全等级保护基本要求、测评要求，工业控制系统安全控制和安全检查指南，电力行业的《电力监控系统网络安全防护导则》和《电力监控系统网络安全评估指南》，进行全面梳理、系统设计和归类编排，设计构建了网络安全九大领域和71个子领域的业绩目标，以及405个评估项及其评估使用指引。图1-7为网络安全同行评估领域划分，图1-8展示了网络安全同行评估领域及子领域构成。

表1-1为网络安全同行评估九大领域及所有子领域和评估项的数量分布和汇总。

本书第2章至第10章分别设计描述了网络安全同行评估各个领域及其子领域的业绩目标和评估准则，梳理整合并描述了每条评估准则的详细使用指引。同时，参照各领域的高风险判定指引及实际工作中的经验反馈，将对应的高风险项和常见短板弱项作为同行评估中的重点参考评估项，并描述了常见网络安全基本问题及相应的整改建议。