ICS 35.030 CCS L 80 64 宁夏回族自治区 地方标准 DB 64/T 2118—2025 网络安全和网络数据安全风险评估规范 Network security and network data security risk assessment specifications 2025 - 03 - 04发布 2025 - 06 - 03实施 宁夏回族自治区市场监督管理厅 发布 DB 64/T 2118— 2025 I 目次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 基本要求 ........................................................................... 2 5 评估管理 ........................................................................... 2 6 评估内容 ........................................................................... 2 7 评估方式 ........................................................................... 2 8 评估流程 ........................................................................... 3 9 评估结果 ........................................................................... 5 10 结果运用 .......................................................................... 6 附录A（规范性） 网络安全和网络数据安全风险记录表 ..................................... 7 附录B（资料性） 网络安全和网络数据安全风险评估报告 .................................. 22 参考文献 ............................................................................. 23 DB 64/T 2118— 2025 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由国家计算机网络应急技术处理协调中心宁夏分中心提出。 本文件由宁夏回族自治区互联网信息办公室归口并组织实施。 本文件起草单位：宁夏回族自治区互联网信息办公室、国家计算机网络应急技术处理协调中心宁夏 分中心、宁夏回族自治区标准化研究院。 本文件主要起草人 :刘远、薛蓬、苏楠、塔娜、崔梦龙、白姜艳、王惠惠、刘金成、郭昊、张宁宁、 施睿。 DB 64/T 2118— 2025 1 网络安全和网络数据安全风险评估规范 1 范围 本文件规定了网络安全和网络数据安全风险评估的基本要求、评估管理、评估方式、评估流程、评 估结果及结果运用。 本文件适用于涉网单位的互联网系统，不适用于涉密网。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 29246 —2017 信息技术 安全技术 信息安全管理体系 概述和词汇 GB 50174— 2017 数据中心设计规范 3 术语和定义 GB 50174— 2017、GB/T 25069—2022 、GB/T 29246 —2017界定的术语和定义适用于本文件。 网络network 由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、 存储、 传输、 交换、处理的系统。 网络安全 network security 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 [来源：GB/T 25069 —2022,3.61] 风险评估 risk assessment 风险识别、风险分析和风险评估的整个过程。 [来源：GB/T 29246 —2017,2.71] 网络数据 network date 通过网络处理和产生的各种电子数据。 数据安全 date security DB 64/T 2118— 2025 2 通过采取必要措施， 确保数据处于有效保护和合法利用的状态， 以及具备保障持续安全状态的能力。 收集 collect 获得对信息控制权的行为。 [来源：GB/T 25069 —2022,3.558] 数据共享 data sharing 让不同的数据用户能够访问大数据服务所整合的各种数据资源，并通过大数据服务或数据交换技 术对这些数据资源进行相关的计算、分析、可视化等处理的行为。 [来源：GB/T 25069 —2022,3.566] 不符合 nonconformity 对要求的不满足。 [来源：GB/T 29246 —2017,2.53] 4 基本要求 评估人员在评估过程中应当充分收集证据，对评估对象实施的安全措施的有效性和可靠性做出客 观公正的判断。 在评估实施工程过中，应不干扰、破坏网络主体运营者的业务连续性。 5 评估管理 周期 宜每三年评估一次。 主体 评估主体包含网络安全监管部门、行业主管部门、第三方评估机构以及各网络数据运营单位。 对象 本文件用于评估主体对网络主体运营者开展网络安全和网络数据安全风险评估、自查工作。 6 评估内容 风险评估包含 网络安全、 网络数据安全两大部分，网络安全评估内容按照附录A.1的要求，网络数 据安全评估内容按照附录 A.2的要求。 7 评估方式 DB 64/T 2118— 2025 3 管理评估 证据判断法由网络主体运营者提供与网络安全相关的文档材料( 如网络安全工作领导机构、应急预 案、应急演练记录、保密协议、培训记录、机房管理制度、人员管理制度以及与产品技术相关的设计实 施方案、配置说明、运行记录和其他配套表单),风险评估组审核相关 的文档材料是否已涵盖评估内容。 技术评估 技术评估的评估方式包括但不限于： a) 工具测试：利用技术工具和人工方式对系统进行测试,验证是否符合 评估内容的技术保障能力 要求。 b) 配置评估 ：根据网络主体运营者提供的技术材料,登录相关的系统工具平台,评估 配置是否与 材料保持一致, 对文档审核内容进行核实 。 8 评估流程 评估整体流程 网络安全和网络数据安全风险评估的实施过程一般包括成立风险评估组、编制工作方案、实施风险 评估、形成评估报告等内容，实施风险评估包括管理评估、技术评估两部分，具体流程见图 1所示。 DB 64/T 2118— 2025 4 风险评估开始 成立风险评估组 编制风险评估工作方案 告知风险评估对象 开展风险评估 管理评估 技术评估 证据判断法工具测试 配置评估 单项结果判定 整体结果判定 评估结果确定 是否需要整改是 是 复测整改其余风险 是否整改完成否 是 形成总结报告否 风险评估结果归档准备阶段 实施阶段 整改阶段 总结阶段是否存在高风险项 否高风险项问题解决 图1 风险评估流程图 准备阶段 8.2.1 实施风险评估前，应组建风险评估组，风险评估组应不少于 3人（单数），且至少有 2人必须 应具有国家权威机构认定的信息安全资格或具备独立实施风险评估的能力。 8.2.2 风险评估发起单位负责编制风险评估工作方案，工作方案内容包括确定网络主体运营者、确认 风险评估内 容、选择风险评估方式、梳理风险评估资产，风险评估资产具体指被评估单位互联网边界所 放置的网络设备及安全设备、服务器、重要业务系统，其中服务器至少抽取总数的百分之二十作为评估 资产，其余设备应当抽取边界核心设备。 8.2.3 风险评估组事先