T/CIQA 39-2022 检验检测机构网络安全工作指南

ICS35030

CCSL.80

团体标准

T/CIQA39—2022

检验检测机构网络安全工作指南

Guidelinesoncybersecurityofinspectionandtestinginstitutions

2022-07-08发布2022-09-01实施

中国出入境检验检疫协会发布

T/CIQA39—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

网络安全工作方法

5………………………3

概述

5.1…………………3

网络安全工作方法在检验检测机构的应用

5.2………3

网络安全工作任务

6………………………6

通则

6.1…………………6

网络安全等级保护

6.2…………………6

商用密码应用安全性评估

6.3…………7

个人信息合规审计

6.4…………………8

网络安全审查

6.5………………………8

关键信息基础设施安全风险评估

6.6…………………9

业务连续性管理体系认证

6.7(BCMS)………………9

信息安全管理体系认证

6.8(ISMS)…………………10

隐私管理体系认证

6.9(PIMS)………………………10

数据安全管理认证

6.10………………10

附录资料性网络安全法定义务识别指南

A()…………12

参考文献

……………………16

Ⅰ

T/CIQA39—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国出入境检验检疫协会检验鉴定标准化技术委员会提出并归口

(CIQA/TC1)。

本文件起草单位北京时代新威信息技术有限公司华测检测认证集团股份有限公司中理检验有

:、、

限公司青岛海检集团有限公司力鸿检验集团有限公司嘉德信大连检验测试科技有限公司中国检

、、、()、

验认证集团上海有限公司中国电子科技集团公司第十五研究所信息产业信息安全测评中心中国出

、()、

入境检验检疫协会进出口商品检验鉴定机构分会

。

本文件主要起草人王新杰王连强杨玉忠俞政臣杜云浩王亚涛谭新星王勋龙费杨洁

:、、、、、、、、、

童连松杨毅刘健张琳

、、、。

Ⅲ

T/CIQA39—2022

引言

网络安全风险是检验检测机构在开展检验检测认证等业务过程中的重大风险之一如果不能有

、、。

效地管理和控制网络安全风险将导致检验检测机构的数据泄露业务中断客户投诉等重大损失甚至

,、、,

还会带来法律责任受到民事或刑事处罚

,。

选择正确的网络安全工作方法是检验检测机构做好网络安全工作的基础本文件第章提出了

,。5

检验检测机构网络安全工作方法的建议为检验检测机构提供参考这个方法包括建立网络安全工作

,。

的目标识别和确定网络安全要保护的对象开展网络安全风险评估以及根据风险评估结果选择和建

,,,

设网络安全控制措施

。

履行网络安全的法律责任和法定义务是检验检测机构网络安全工作的重要内容截至目前我国

,。,

已经颁布实施的网络安全法律法规包括中华人民共和国网络安全法中华人民共和国密码法中华

《》《》《

人民共和国数据安全法中华人民共和国个人信息保护法网络安全审查办法和关键信息基础设施

》《》《》《

安全保护条例等

》。

本文件第章从检验检测机构应承担的网络安全法律责任入手提出了检验检测机构应该开展的

6,

具体网络安全工作如网络安全等级保护商用密码应用安全性评估数据安全保护个人信息保护网

,、、、、

络安全审查和关键信息基础设施保护等并提出了开展这些工作内容的具体方法和步骤为检验检测机

,,

构提供参考

。

网络安全是一项专业性很强的工作并非所有的组织都具有满足其网络安全工作要求的网络安全

,

能力具有一定网络安全专业能力的检验检测机构可以通过自身力量开展和落实上述具体网络安全

。,

工作网络安全专业能力不足的检验检测机构可以通过采购专业网络安全服务的方式来实现其网络

。,

安全目标履行其网络安全责任

,。

Ⅳ

T/CIQA39—2022

检验检测机构网络安全工作指南

1范围

本文件提供了检验检测机构开展网络安全工作的指南描述了检验检测机构开展网络安全工作的

,

方法规定了检验检测机构必须开展和选择开展的网络安全工作任务

,。

本文件适用于任何类型任何规模的检验检测机构的网络安全工作

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术信息安全风险评估规范

GB/T20984

信息技术安全技术信息安全管理体系要求

GB/T22080

信息技术安全技术信息安全控制实践指南

GB/T22081

信息安全技术网络安全等级保护基本要求

GB/T22239

信息安全技术网络安全等级保护定级指南

GB/T22240

公共安全业务连续性管理体系要求

GB/T30146

公共安全业务连续性管理体系指南

GB/T31595

信息安全技术个人信息安全规范

GB/T35273

信息安全技术信息系统密码应用基本要求

GB/T39786

ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002for

privacyinformationmanagement—Requirementsandguidelines

3术语和定义

下列术语和定义适用于本文件

。

31

.

网络安全cybersecurity

通过采取必要措施防范对网络的攻击侵入干扰破坏和非法使用以及意外事故使网络处于稳

,、、、,

定可靠运行的状态以及保障网络数据的完整性保密性可用性的能力

,、、。

来源中华人民共和国网络安全法第七十六条二

[:《》,()]

32

.

网络安全风险评估cybersecurityriskassessment

识别网络安全风险分析网络安全风险评价网络安全风险的全过程

、、。

33

.

网络安全控制措施cybersecuritycontrols

保持和或改变网络安全风险的手段

/。

注1包括但不限于制度流程设备设施资源条件活动等

:、、、、。

1