https://wenku.baidu.com/view/36df8b93846a561252d380eb6294dd88d1d23d23.html
等级测评:
是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和
方法,对 处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,断定受测系统的技术和
管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论, 针对安全不符合项提出安全整改建议。
详细描述:
1.等级测评是测评机构依据 ‘国家信息安全等级保护制度‘ 规定:
* 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全 建设整改工作的指导 意见》、《信息安全等级保护管理办法》
2. 受有关单位委托,按照有关 ‘管理规范’ 和 ‘技术标准’
* 定级标准:《信息系统安全保护等级定级指南》、《计算机信息系统安全保护等级划分准则》;
*建设标准 : 《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》;
* 测评标准: 《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《信息系统安全等级保护实施指南》;
* 管理标准: 《信息系统安全管理要求》、《信息系统安全工程管理要求》
3. 运用科学的手段和方法:
采用6中方式,逐步深化的测试手段
* 调研访谈(业务、资产、安全技术和安全管理);
* 查看资料 (管理制度,安全策略);
* 现场观察 (物理环境、物理部署);
* 查看配置 (主机、网络、安全设备);
* 技术测试 (漏洞扫描);
* 评价 (安全测评、符合性评价)。
4.对处理 特定应用 的信息系统 (查阅定级指南,哪些应用系统定级)
作为定级对象的信息系统应具有如下基本特征:
* 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其 安全责任单位。如果。。。。
* 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施 按照一定的应用目标和规则组合而成
的有形实体。应避免将某个单一的系统组件,如服务器,终端,网络设备等作为定级对象;
* 承载单一或相对独立的业务应用。 定级对象承载 “单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。 定级对象承载 “相对独立” 的业务应用 是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
5. 采用‘安全技术测评‘ 和 ‘安全管理测评’ 方式:
* 安全技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全;
* 安全管理测评包括:安全 管理制度、 安全管理机构、 人员安全管理、系统建设管理、系统运维管理。
6.对保护状况进行检测评估,判定受测系统的技术 和 管理级别 与所定安全等级要求的符合程度,基于符合程度给出 是否满足所 定 安全等级的结论, 针对安全不符合项提出 安全整改建议。
* 符合程度:综合分析具体指标符合 性判断,给出抽象指标符合性判断结构,汇总所有抽象指标符合判断,给出安全等级满足与否的结论;
* 安全等级结论: 结合受测 系统符合 性 强度,判断受测系统是否满足所定安全等级的结论;
* 安全整改建议: 提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。
等级保护完全实施过程
信息系统生命周期分为 “信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止” 等五个阶段
*信息系统定级
定级备案是信息安全等级保护的首要环节。 信息系统定级工作应按照 “自主定级、专家评审、主管部门审批、公安机构审核” 的原则进行。 在等级保护工作中,信息系统运营使用单位 和 主管部门 按照 “谁主管谁负责,谁运营谁负责”的原则展开工作,并接受信息安全监管部门对开展等级保护工作的监管
* 总体安全规划
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的 信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
* 安全设计与实施
安全设计与实施阶段的目标是按照信息 系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施
* 安全运行维护
安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和
和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的 管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,可参考其他标准或指南
* 信息系统终止
信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对
于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术活
转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全
采用“安全技术评测” 和 “安全管理评测”方式:
安全技术评测 包括: 物理安全,网络安全,主机安全,应用安全,数据安全;
安全管理评测 包括: 安全管理制度,安全管理机构, 人员安全管理,系统建设管理,系统运维管理。
系统建设管理 :
| 系统建设管理 |
调研访谈 |
查文件 |
| 系统定级 | 系统定级过程、方法、理由,定级结果论证和和审定,定级结果批准等; | 查系统定级文档,文档说明定级方法和理由,论证和审定意见,批准盖章等。 |
| 安全方案设计 | 专人负责安全建设规划,安全设计方案,专家论证和审定,定期修订配套文件; |
安全措施文档,风险分析表,总体规划文件和工作计划,专家论证文档,文档修订记录。 |
| 产品采购和使用 | 安全、密码产品使用,指定部门负责采购,审定和更新候选产品名单; | 采购文件中涉及产品指标和候选范围,密码产品使用规定,产品选型测试记录等。 |
| 自行软件开发 | 开发环境与测试环境分开,编码安全规范,专人保管设计文档和使用指南,授权审批; | 查软件开发管理制度,明确软件开发生命周期管理,编码规范,设计文档等管理。 |
| 外部软件开发 | 检测软件质量,恶意代码检测,开发商提供设计文档,使用指南和源代码等 | 外包软件验收测试报告,恶意代码检测报告,设计文件和使用指南,源代码审计记录等。 |
| 工程实施 | 专人负责管理实施过程,制定实施方案,制定工程实施方面的安全管理制度; | 工程实施方的责任、任务和质量要求,工程实施方案,阶段性报告,工程实施管理制度。 |
| 测试验收 | 第三方安全测试,制定测试验收方案和报告,专人负责验收工作,测试验收报告审定 | 第三方测试文档,测试验收方案,测试验收管理文档,测试验收记录和测试验收报告。 |
| 系统交付 | 根据交付清单对设备、文档、软件等 进行清点,新系统培训,专人负责系统交接工作 | 详细系统交付清单,新系统培训记录,系统运维文档,系统交付管理文档等。 |
| 系统备案 | 专门部门管理和使用定级材料,报主管部门和公安机关进行备案; | 系统定级相关材料,主管部门和公安机关备案的记录或备案文档。 |
| 等级测评 | 等保测评管理文件,系统变更后的等级测评,如何选择测评机构,专人负责等保测评; | 测评报告、建议报告和整改方案,测评机构资质。 |
| 安全服务商选择 | 安全服务器选择,签订服务协议,服务商提供技术培训和服务培训; | 服务招标文件,签订的服务合同和保密协议等文档,服务合同包含服务内容和期限等。 |
系统运维管理
| 系统运维管理 | 调研访谈 | 查文件 |
| 环境管理 | 指定部门或人员对机房维护、机房安全,建立机房制度,办公环境保密性管理; | 机房维护管理制度和维护记录,查机房管理制度,物理访问、环境安全等,办公环境管理文档。 |
| 资产管理 | 建立资产登记管理及资产清单,依据重要资产进行分类和标志管理; | 查资产清单,资产安全管理制度,依据资产重要程度的管理措施,信息分类文档和资产标识原则和方法。 |
| 介质管理 | 介质安全管理制度,介质的存放,介质传输控制,介质销毁,介质异地存储,介质分类标识管理; | 查介质安全管理制度,介质管理记录,介质 目录清单,异地存储环境,查看介质标识。 |
| 设备管理 | 专人负责设备管理,建立设备安全管理制度,建立配套设施、软硬件维护方面的管理制度; | 设备和线路维护记录,查设备安全管理制度,设备维护记录和操作日志,设备带离申报材料和报告。 |
| 监控管理和安全管理中心 | 信息系统的监控管理活动,对监控记录进行分析和评审,建立安全管理中心; | 监测记录文档,监控分析报告和措施,设备运行状态记录,补丁升级的发布记录安全审计报告。 |
| 网络安全管理 | 专人网路偶管理,建立网络安全管理制度,更新网络软件信息,进行漏扫,外链授权,移动设备准入; | 查网络安全制度,网络设备升级鸡柳,扫漏报告,外链授权文件,内部网络外联的授权批准书。 |
| 系统安全管理 | 访问控制策略,定期漏扫,补丁更新,建立系统管理制度,权限分配,制定操作手册,日志分析; | 查访问控制策略,系统漏扫报告,补丁记录,查系统安全管理制度,岗位职责定义,日志分析报告。 |
| 恶意代码防范管理 | 升级防病毒软件提高意识,专人负责,规范恶意代码软件使用,发现问题及时处理,形成报告; | 恶意代码防范管理文档,涉及恶意代码授权使用、升级和汇报,恶意代码检测记录和分析报告。 |
| 密码管理 | 建立密码使用管理 制度,使用符合国家密码管理规定的密码技术和产品; | 查看密码使用管理制度 |
| 变更管理 | 制定变更方案,建立变更管理制度,变更失败恢复程序; | 系统变更方案,变更方案评审记录和变更过程记录文档,查看变更失败恢复程序等。 |
| 备份和恢复 管理 | 重要业务定期备份,建立备份安全管理制度,制定备份和恢复策略,定期恢复测试; | 查备份和恢复管理制定,数据备份和恢复策略文档,备份和恢复记录 |
| 安全事件处理 | 报告可疑时间和安全弱点,建立并实施安全事件管理制度,安全事件进行等级划分; | 安全事件分类及报告程序,安全事件管理制度,安全事件定级文档,安全事件记录分析文档等 |
| 应急预案管理 | 制定不同事件的应急预案,具有应急预案小组,应急预案培训,应急演练,应急预案定期审查等; | 查应急预案框架,不同事件的应急预案,培训记录,应急预案演练方案和记录,预案审查记录 |
posted on
浙公网安备 33010602011771号