1.4 网络安全评估标准使用要点

为便于相关人员在日常评估工作中理解、快速查找和使用这些评估标准，本书对所有领域、子领域及评估项进行了编码和排序。每个评估项的表达格式为：评估项代码+评估项内容描述。例如，SL1a树立正确的网络安全观，认识网络安全工作特点，准确把握和谋划网络安全工作。一组评估项构成对应业绩目标的评估准则，并用一个简单表格列示。

图1-9详细列示了第2章至第10章网络安全业绩目标、评估准则和使用指引的内容结构。所有评估项都是按照该领域的评估项代码顺序进行编排的，以便相关人员在使用时快速找到各评估项的具体使用指引。其中，为了让读者同时了解相关政策法规要求、同行良好实践或评估参考建议，对某些重要的评估项使用指引以“评估参考”一栏特别补充说明。其中，涉及的备注简称示例说明如下。

① 网安法第×条：指《中华人民共和国网络安全法》第×条文本内容。

② 党委网安责任制第×条：指《党委（党组）网络安全工作责任制实施办法》第×条文本内容。

③ 关基条例第×条：指《关键信息基础设施安全保护条例》第×条文本内容。

④ 个信法第×条：指《中华人民共和国个人信息保护法》第×条文本内容。

⑤ 四部委核第×条：指《关于进一步加强核电运行安全管理的指导意见》（发改能源〔2018〕765号）第×条文本内容。

⑥ 金融L4-MMS1-45：指《金融行业网络安全等级保护测评指南》（JR/T 0072—2020）中第L4-MMS1-45项内容，类似相同。

⑦ 电力10.3.2c：指《电力监控系统网络安全评估指南》（GB/T 38318—2019）中第10.3.2c项内容，类似相同。

⑧ 广电9.1.1.1c：指《广播电视网络安全等级保护基本要求》（GY/T 352—2021）中第9.1.1.1节第c项内容，类似相同。

⑨ 大数据7.2.1b：指《信息安全技术 网络安全等级保护大数据基本要求》（T/ISEAA 002—2021）中第7.2.1b项内容，类似相同。

⑩ 密评基9.1a：指《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021）中第9.1a项内容，类似相同。

⑪ 密评测6.1.1：指《信息系统密码应用测评要求》（中国密码学会密评联委会2020年12月发布）中第6.1.1节内容，类似相同。

⑫ 密评高6.1d：指《信息系统密码应用高风险判定指引》（中国密码学会密评联委会2020年12月发布）中第6.1d节内容，类似相同。

⑬ 网安审第×条：指自2022年2月15日起施行的《网络安全审查办法》第×条文本内容。

结合对《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护测评过程指南》的理解，基于同行评估“聚焦管理改进”的特点，图1-10列出了网络安全同行评估业绩目标责任分解组织结构。在落实网络安全各领域和子领域的业绩目标时，对应的负责人（角色）就是相应的管理绩效负责人。在开展现场评估时，评估员访谈的对象就是评估项对应的业绩目标绩效负责人。在受评方确定各领域对口负责人时，也应该与业绩目标的绩效负责人相对应，或者说应该使对口负责人切实了解自身需要不断追求的业绩目标是什么，如何在实现合规底线安全目标的基础上，在业务发展和日常工作中始终保持对网络安全风险的可知、可管和可控。

为便于评估员或读者理解、查阅和引用网络安全各领域及其子领域的业绩目标与准则，以及每个评估项与网络安全等级保护基本要求的对应关系，本书附录A给出了《网络安全评估领域代码对照表》，附录B给出了《网络安全评估领域及各子领域业绩目标汇总表》（包括业绩目标责任人），附录C给出了《网络安全评估准则评估项与等级保护基本要求条款详细对照表》。

《网络安全评估实战》的主要内容包括同行评估概述；网络安全同行评估工作目标、基本思路、评估内容、典型任务和评估作业指导书编制指引，评估任务的总体统筹方法；网络安全同行评估组织与职责分工，以及评估各阶段的工作任务要点；同行评估技术和方法，以及评估工作中涉及的主要文档的用途、格式及其编写要点；基于实战化驱动的同行评估工作要点等。本书对这些内容不展开论述。

---

[1]《中华人民共和国网络安全法》简称《网络安全法》；《中华人民共和国密码法》简称《密码法》；《中华人民共和国数据安全法》简称《数据安全法》；《中华人民共和国个人信息保护法》简称《个人信息保护法》。