ICS 35.020 L 70 团 体 标 准 T/DSAG 004-2025 广东省政务云应用系统上线前风险评估指 引 (Guidelines for Risk Assessment before the Launch of Guangdong Provincial Government Cloud Application Systems) 2025-01-01发布 2025-01-01实施 广东省数字安全协会发布
T/DSAG 目次 前言 1范围.. ..1 2规范性引用文件. ..1 3术语和定义... .1 4上线前风险评估概述, .4 4.1评估定位 .4 4.2评估范围 .4 4.3角色职责. .. 4.3.1政务应用系统建设单位 .5 4.3.2评估服务机构 5评估流程.. 6 5.1评估申请. .7 5.2评估实施.. ..7 5.2.1系统调研 7 5.2.2首轮评估 8 5.2.3安全问题整改 .8 5.2.4回归评估 9 5.2.5评估总结和报告编制 ... 6评估内容. ..9 6.1评估对象选择, .9 6.2系统配置核查. .11 6.2.1评估对象及内容. 11 6.2.2评估方法.. 16 6.2.3通过评估要求. 16 6.3应用渗透测试. 16 6.3.1评估对象及内容. 16 6.3.2评估方法 20 6.3.3评估通过要求, 21 6.4主机漏洞扫描, .21 6.4.1评估对象及内容. 21 6.4.2评估方法.. 22 6.4.3通过评估要求 22 6.5恶意代码检查, .22 6.5.1评估对象及内容. 22 6.5.2评估方法.. 22 6.5.3通过评估要求, 23 7通过评估要求 .23
T/DSAG 附录A(资料性)评估对象选择示例 24 附录B(资料性)调研表示例 27 附录C(资料性)评估报告模板. 30 参考文献 35
T/DSAG0042025 前言 本标准按GB/T1.1-2020给出的规则起草.
本标准由工业和信息化部电子第五研究所提出并归口.
本标准起草单位:工业和信息化部电子第五研究所、广东省政务服务和数据管理局、数字广东网络 建设有限公司、公安部第三研究所、奇安信科技集团股份有限公司、杭州安恒信息技术股份有限公司、 深信服科技股份有限公司、亚信安全科技股份有限公司、永信至诚科技集团股份有限公司、广东省信息 安全测评中心、广州市政务服务和数据管理局、阳江市政务服务和数据管理局、湛江市政务服务和数据 管理局、汕头市政务服务和数据管理局、汕头市信息中心、揭阳市政务服务和数据管理局.
本标准主要起草人:刘北水、观雯玉、罗奇伟、程炜、苏锐生、段彦名、赵弘洋、陈晓、关泳强、 贺高戈、张嘉子、容菲菲、戴晨、闵家法、钟林、张志伟、陈耿、王雪风、叶晖、崔玉刚、江坚强、赵 栋良、黄恒、郑楷涛、蒋天翔、刘国栋、张嘉杰、陈晓荣、何栋.
Ⅲ
