新规透视|《信息安全技术 网络安全应急能力评估准则》解读（总1028期）

2023年11月，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 网络安全应急能力评估准则》（以下简称《评估准则》），并将于2024年6月1日实施。《评估准则》规定了网络安全应急能力要求南昌企业服务网，给出了相应评估流程，适用于各类组织进行网络安全应急能力建设与评估。今天，大家随小编一起来看看吧。

《评估准则》将网络安全应急能力分为三个级别，从低到高依次是一级、二级和三级，每个级别的网络安全应急能力南昌企业服务网要求包括应急组织与人员、应急制度、监测预警、应急处置、预防保障5个方面共15个部分。

一、各级网络安全应急能力适用场景

网络安全应急能力从低到高分为一级、二级和三级，根据组织所属网络与信息系统在国家安全、南昌企业服务网经济建设和社会生活中的重要程度，以及组织发生网络安全事件可能对国家安全、社会秩序、公共利益以及公民、法人和其他相关组织的合法权益造成危害的严重程度进行分级。

各级网络安全应急能力适用场景如下：

1)一级网南昌企业服务网络安全应急能力适用于：组织所属网络与信息系统受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；

2)二级网络安全应急能力适用于：组织所属网络与信息系统受到南昌企业服务网破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

3)三级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后，会对社会南昌企业服务网秩序和公共利益造成严重损害或特别严重损害，或者对国家安全造成危害或严重危害。

二、网络安全应急能力评估流程

网络安全应急能力评估流程应包括评估准备、评估实施、评估结论、报告编制4个阶段。

（一）评估准备

开展南昌企业服务网网络安全应急能力评估应做好准备工作，评估方应组建评估小组，评估小组根据被评估方申请评估的能力级别，按照本文件规定的相应级别的网络安全应急能力要求进行评估，准备评估文档材料等；被评估方应派相关人员做好准南昌企业服务网备待审核的佐证文档资料等配合工作。

（二）评估实施

在实施网络安全应急能力评估时，评估小组根据被评估方申请评估的能力级别，采用适宜的评估方法进行评估，包括查阅文档、现场查看、访谈问答、实际操作、应急演练等南昌企业服务网：

1、查阅文档：查阅网络安全应急预案、网络安全应急管理制度、历史网络安全事件处置、演练等相关文字、音像资料和数据记录；

2、现场查看：现场查看网络安全应急值班场所、网络安全应急工具物资、网络安全应急系统南昌企业服务网平台等系统和设施；

3、访谈问答：主要面向网络安全应急领导机构成员、网络安全应急人员，了解其对本岗位网络安全应急工作职责、应急预案、相关法规政策、工作规章、应急技术知识等的掌握程度；

4、实际操作：主要评南昌企业服务网估网络安全应急人员对网络安全应急工具的掌握程度；

5、应急演练：主要通过进行应急演练抽查或观摩评估网络安全应急领导机构成员、网络安全应急人员对网络安全应急工作流程、网络安全应急技能的掌握程度。

（三）评估南昌企业服务网结论

评估小组根据被评估方申请评估的网络安全应急能力级别，对该级别的各项能力要求进行符合性判定，每项能力要求的符合性判定结果都分为符合、部分符合和不符合。各级能力要求的关键能力要求和扩展能力要求数量统计南昌企业服务网见表1，高级别与低一级别保持一致的能力要求均为关键能力要求。评估小组应综合各项能力要求的符合性判定结果并进行风险分析后给出该级别的整体评估结论

1、合格：该级别的所有能力要求都为符合项；

2、基本合格：该南昌企业服务网级别的所有关键能力都为符合项，扩展能力要求有部分符合项或不符合项，但经风险分析，部分符合项或不符合项不涉及被评估方的关键网络安全应急能力因素，不会导致被评估方面临严重网络安全风险：

3、不合格：该级别的南昌企业服务网能力要求有部分符合项或不符合项，且经风险分析，部分符合项或不符合项涉及被评估方的关键网络安全应急能力因素，会导致被评估方面临严重网络安全风险。

当被评估方所申请能力级别的评估结论为基本合格时，被评估方可南昌企业服务网对部分符合项与不符合项进行整改，在一年内申请对部分符合项与不符合项进行再评估，如果全部符合要求，则变更评估结论为合格。

（四）报告编制

编写评估报告应全面反映评估过程的全部工作，提供评估佐证资料，给出评估南昌企业服务网结论。报告内容应包括：编制依据、目的和适用范围、评估程序和方法、评估结果与分析、改进措施及建议、报告附件，包括评估过程中产生的数据、表格、图片和记录、评估过程中会议记录和评估意见、其他必要说明等。

财富南昌企业服务网业务合规管理与合规监测团队出品

免责声明

本公众号仅作为法律合规交流、学习和研究使用，不构成任何管理或者投资建议，您直接或间接基于本公众号内容作出的判断或者行为应自行承担风险，光大证券及其法律合规部，以及南昌企业服务网作者不对此承担任何责任。

本公众号上所刊登、转载或引用内容均仅代表作者本人观点，不代表光大证券及其法律合规部立场。作者对刊载的原创内容享有著作权，未经授权禁止转载，否则将追究法律责任。转载或引用内容的版南昌企业服务网权归原作者所有，如涉嫌侵权，请及时联系我们，我们将及时更正或删除有关内容。