T/CIQA 39-2022 检验检测机构网络安全工作指南

ICS35.030

CCSL80

团体标准

T/CIQA39-2022

检验检测机构网络安全工作指南

Guidelinesoncyberpracticesofinspectionandtestinginstitutions

2022-07-08发布2022-09-01实施

中国出入境检验检疫协会发布

T/CIQA39-2022

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................2

5网络安全工作方法...................................................................2

5.1概述...........................................................................2

5.2网络安全工作方法在检验检测机构的应用...........................................3

6网络安全工作任务...................................................................5

6.1总则...........................................................................5

6.2网络安全等级保护...............................................................5

6.3商用密码应用安全性评估.........................................................6

6.4个人信息合规审计...............................................................7

6.5网络安全审查...................................................................7

6.6关键信息基础设施安全风险评估...................................................7

6.7业务连续性管理体系（BCM）认证..................................................8

6.8信息安全管理体系（ISMS）认证...................................................8

6.9隐私管理体系（PIMS）认证.......................................................8

6.10数据安全管理认证..............................................................9

附录A（资料性）网络安全法定义务识别指南............................................10

参考文献.............................................................................12

T/CIQA39-2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国出入境检验检疫协会检验鉴定标准化技术委员会（CIQA/TC1）提出并归口。

本文件起草单位：北京时代新威信息技术有限公司、华测检测认证集团股份有限公司、中理检验

有限公司、青岛海检集团有限公司、力鸿检验集团有限公司、嘉德信(大连)检验测试科技有限公司、中

国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、中国出入境检验检疫协会进出口商

品检验鉴定机构分会。

本文件主要起草人：王新杰、王连强、杨玉忠、俞政臣、杜云浩、王亚涛、谭新星、王勋龙、费杨

洁、童连松、刘健、张琳。

本文件版权归中国出入境检验检疫协会所有。任何单位或个人未经许可，不得以营利为目的，印

制、出版、翻译、转发或复制全文或部分文字。

T/CIQA39-2022

引言

网络安全风险是检验检测机构在开展检验、检测、认证等业务过程中的重大风险之一。不能有效地

管理和控制网络安全风险，将导致检验检测机构的数据泄露、业务中断、客户投诉等重大损失，甚至还

会带来法律责任，遭受民事或刑事处罚。

选择一个正确的网络安全工作方法，是检验检测机构做好网络安全工作的基础。本文件第4章提出

了一个检验检测机构网络安全工作方法的建议，为检验检测机构提供参考。这个方法包括建立网络安全

工作的目标，识别和确定网络安全要保护的对象，开展网络安全风险评估，以及根据风险评估结果选择

和建设网络安全控制措施。

履行网络安全的法律责任和法定义务，是检验检测机构网络安全工作的重要内容。截止目前，我国

已经颁布实施的网络安全法律法规包括网络安全法、密码法、数据安全法、个人信息保护法、网络安全

审查办法和关键信息基础设施保护条例等。

本文件第5章从检验检测机构应负的网络安全法律责任入手，提出了一个检验检测机构应该开展的

具体网络安全工作内容，如网络安全等级保护、商用密码应用安全性评估、数据安全保护、个人信息保

护、网络安全审查和关键信息基础设施保护等，并提出了开展这些工作内容的具体方法和步骤，为检验

检测机构提供参考。

网络安全是一项专业性很强的工作，并非所有的组织都具有满足其网络安全工作要求的网络安全能

力。具有一定网络安全专业能力的检验检测机构，可以通过自身力量开展和落实上述具体网络安全工作

内容。网络安全专业能力不足的检验检测机构，可以通过采购专业网络安全服务的方式来实现其网络安

全目标，履行其网络安全责任。

T/CIQA39-2022

检验检测机构网络安全工作指南

1范围

本文件为检验检测机构开展网络安全工作提供了指南，描述了检验检测机构开展网络安全工作的方

法，列出了检验检测机构必须开展和选择开展的网络安全工作任务。

本文件适用于任何类型、任何规模的检验检测机构的网络安全工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T19000质量管理体系基础和术语

GB/T20984信息安全技术信息安全风险评估规范

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T22081信息安全、网络安全和隐私保护信息安全控制

GB/T22240信息安全技术网络安全等级保护定级指南

GB/T30146公共安全业务连续性管理体系要求

GB/T35273信息安全技术个人信息安全规范

GB/T39786信息安全技术信息系统密码应用基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

网络安全cybersecurity

是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络

处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：中华人民共和国数据安全法，第七十六条（二）]

3.2

网络安全风险评估cybersecurityriskassessment

识别网络安全风险、分析网络安全风险、评价网络安全风险的全过程。

3.3

网络安全控制措施cybersecuritycontrols

保持和/或改变网络安全风险的手段。

注1：包括但不限于制度、流程、设备设施、资源条件、活动等。

注2：网络安全控制措施不一定总能发挥出其预期或假设的风险保持和/改变作用。

3.4

业务连续性管理体系（BCMS）businesscontinuitymanagementsystem

建立方针和目标，以保持和持续改进组织的业务连续性水平和能力的一组相互关联、相互作用的要

素。

注：管理体系（MS）的定义，请参照GB/T190003.5.3。

3.5

数据安全datasecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

T/CIQA39-2022

[来源：中华人共和国数据安全法，第三条]

3.6

信息安全管理体系（ISMS）informationsecuritymanagementsystem

建立方针和目标，以保持和持续改进组织的信息安全保护水平和能力的一组相互关联、相互作用的

要素。

注：本术语中的信息安全，等同于本文件中的网络安全（3.1）。

3.7

网络安全等级保护cybersecurityclassifiedprotection

对信息系统进行定级、备案、建设整改、测评，以及公安机关对上述活动进行监督、检查的全过程。

是国家网络安全工作的一项基本制度。

3.8

商业密码应用安全性评估securityassessmentforapplicationofcommercialcryptography

识别、分析和评价组织商用密码应用安全风险的全过程。是国家商用密码管理工作的一项基本制度。

3.9

隐私管理体系（PIMS）privacyinformationmanagementsystem

建立方针和目标，以保持和持续改进组织的隐私保护水平和能力的一组相互关联、相互作用的要素。

3.10

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

注：不包括匿名化处理后的信息。

[来源：中华人共和国个人信息保护法安全法，第四条]

3.11

网络安全审查cybersecurityauditandinspection

由网络安全主管部门实施的，对我国境内组织采购网络产品和服务中，影响或可能影响国家安全的，

进行的审核和监督检查活动。

3.12

关键信息基础设施criticalinformationinfrastructure

指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行

业和领域的，以及其他一旦遭到破坏、丧失公共或者数据泄露，可能严重危害国家安全、国计民生、公

共利益的重要网络设施、信息系统等。

注：关键信息基础设施安全保护工作部门负责认定关键信息基础设施。

[来源：关键信息基础设施保护条例，第二条]

4缩略语

下列缩略语适用于本文件。

GDSP：数据标准管理平台（GoodDataStandardPractice）

LIMS：实验室信息管理系统（LaboratoryInformationManagementSystem）

OA：办公自动化（OfficeAutomation）

5网络安全工作方法

5.1概述

一个组织开展网络安全工作，本文件建议的方法是第一从建立网络安全目标出发，第二确定网络安

全的保护对象，第三针对网络安全保护对象和组织环境开展网络安全风险评估，第四根据风险评估的结

果，选择、建设和实施网络安全控制措施，最终通过控制措施的实施来实现已经建立的网络安全目标。

图1描述了这一方法中各要素之间的逻辑关系。

T/CIQA39-2022

图1网络安全工作方法逻辑示意图

实现网络安全目标是一个持续的过程，持续改进是应用这个方法需要遵循的基本原则。因为网络安

全是一个动态的、持续的过程，没有任何一项或一组网络安全控制措施能够一劳永逸的消除所有的网络

安全风险，网络安全风险总是随着时间的的变化而不断变化，且无法被彻底消除。所以，一个组织实现

网络安全目标的工作是一个持续不断的过程。

5.2网络安全工作方法在检验检测机构的应用

5.2.1检验检测机构的典型网络环境

检验检测机构因其自身的网络环境使得其网络安全工作有其自身的特点。下面从一个检验检测机构

本地化部署的典型网络环境入手，来说明检验检测机构如何应用上述网络安全方法开展网络安全工作。

图2描述了一个检验检测机构本地化部署的典型网络环境。

图2检验检测机构典型网络环境逻辑示意图