2022年11月18日
等保2级 VS 3级测评项(管理部分)
摘要: 标记注释: 是否适用:Y-适用,N-不适用 权重标识:一般,重要,关键 注意:三级几乎包含了所有二级测评内容(除安全运维管理->恶意代码防范管理中,有两项为二级特有测评项) 安全管理制度 控制点测评指标二级三级 安全策略 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则 阅读全文
posted @ 2022-11-18 10:44 武装小灰灰 阅读(1008) 评论(0) 推荐(0)
云安全等级保护测评
摘要: 云迁移需要考虑的事项见云迁移。企业应用上云,涉及的等级保护测评内容包括通用要求和云扩展要求。具体测评项的选取需根据具体的安全方案来确定。 以下我们将重温云相关的基本概念,并对云安全等级测评对象及安全责任,以及云测评相关内容进行介绍。 NIST对云计算的定义 云计算是一种模式,是一种无处不在的、便捷的 阅读全文
posted @ 2022-11-18 10:35 武装小灰灰 阅读(632) 评论(0) 推荐(0)
安全运维管理-(十四)外包运维管理
摘要: 安全运维管理 控制点 14.包运维管理 运维工作在等级保护对象生命周期中的持续时间最长,直接关系到系统能否安全、稳定运行。委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择工作,在服务协议中明确外包运维服务商的能力、工作范围和工作内容等。 a) 安全要求(关键):应确保外包运维服务商的 阅读全文
posted @ 2022-11-18 10:20 武装小灰灰 阅读(812) 评论(0) 推荐(0)
安全运维管理-(十三)应急预案管理
摘要: 安全运维管理 控制点 13.应急预案管理 为了有效处理等级保护对象运行过程中可能发生的重大安全事件,需要在统一的框架下制定针对不同安全事件的应急预案,根据应急预案的内容对涉及的人员进行培训、演练,并根据等级保护对象的变化情况和安全策略的调整结果进行应急预案的评估、修订与完善。 a) 安全要求(关键) 阅读全文
posted @ 2022-11-18 10:20 武装小灰灰 阅读(464) 评论(0) 推荐(0)
安全运维管理-(十二)安全事件处置
摘要: 安全运维管理 控制点 12.安全事件处置 在等级保护对象的运行过程中会出现很多安全事件。需要对所有安全事件进行分类、分级,并为不同类型、不同级别的安全事件制定相应的响应流程,使安全事件能够得到及时、有效的处置,确保等级保护对象安全、稳定运行。 a) 安全要求(一般):应及时向安全管理部门报告所发现的 阅读全文
posted @ 2022-11-18 10:20 武装小灰灰 阅读(441) 评论(0) 推荐(0)
安全运维管理-(十一)备份与恢复管理
摘要: 安全运维管理 控制点 11.备份与恢复管理 数据备份是保障等级保护对象在发生数据丢失或数据破坏时恢复业务正常运行的重要措施。对于等级保护对象的重要业务信息、系统数据、配置信息、软件程序等,需要制定明确的数据备份策略,定期开展备份操作,并针对备份文件的有效性进行恢复性测试和验证。 a) 安全要求(一般 阅读全文
posted @ 2022-11-18 10:19 武装小灰灰 阅读(533) 评论(0) 推荐(0)
安全运维管理-(十)变更管理
摘要: 安全运维管理 控制点 10.变更管理 等级保护对象在运行过程中会面临各种各样的变更操作。如果没有对变更过程进行有效的管理和控制,就会给等级保护对象带来重大的安全风险。因此,需要对变更操作实施全程管控,做到各项变更内容有章可循、有案可查,遇到问题有路可退,确保变更操作不给系统带来安全风险。 a) 安全 阅读全文
posted @ 2022-11-18 10:19 武装小灰灰 阅读(701) 评论(0) 推荐(0)
安全运维管理-(九)密码管理
摘要: 安全运维管理 控制点 9.密码管理 密码技术是保证信息保密性和完整性的重要技术。为保证密码技术使用过程的安全,在遵循相关国家标准和行业标准的基础上,应对涉及的产品、设备和密码加强管理。 a) 安全要求(关键):应遵循密码相关的国家标准和行业标准。 要求解读:密码生产需要授权许可,密码产品需要符合国家 阅读全文
posted @ 2022-11-18 10:19 武装小灰灰 阅读(515) 评论(0) 推荐(0)
安全运维管理-(八)配置管理
摘要: 安全运维管理 控制点 8.配置管理 等级保护对象配置数据的准确性关系到系统能否正常、稳定、安全地运行。对于系统配置信息,需要进行记录和保存;对于配置信息的变更,需要进行严格的管控。 a) 安全要求(重要):应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、 阅读全文
posted @ 2022-11-18 10:18 武装小灰灰 阅读(355) 评论(0) 推荐(0)
安全运维管理-(七)恶意代码防范管理
摘要: 安全运维管理 控制点 7.恶意代码防范管理 恶意代码对等级保护对象的危害极大,传播途径和方式众多,防范比较困难。因此,不仅需要通过安装专用工具进行恶意代码防范,还需要加强宣贯,提高用户的恶意代码防范意识,建立完善的恶意代码防范管理制度并进行有效的落实。 a) 安全要求(重要):应提高所有用户的防恶意 阅读全文
posted @ 2022-11-18 10:18 武装小灰灰 阅读(917) 评论(0) 推荐(0)
安全运维管理-(六)网络和系统安全管理
摘要: 安全运维管理 控制点 6.网络和系统安全管理 网络和系统的安全状况直接关系到等级保护对象能否正常运行。网络和系统安全管理涉及安全策略管理、操作账户管理、角色权限管理、配置参数管理、升级变更管理、日常操作管理、设备接入管理、运维日志管理等方面。 a) 安全要求(重要):应划分不同的管理员角色进行网络和 阅读全文
posted @ 2022-11-18 10:18 武装小灰灰 阅读(786) 评论(0) 推荐(1)
安全运维管理-(五)漏洞和风险管理
摘要: 安全运维管理 控制点 5.漏洞和风险管理 漏洞和隐患会给等级保护对象造成安全风险,因此,需要采取必要的措施进行识别和评估,及时修补发现的漏洞和隐患,确保等级保护对象安全、稳定运行。 a) 安全要求(重要):应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补,或评估可能的影响后进行 阅读全文
posted @ 2022-11-18 10:17 武装小灰灰 阅读(360) 评论(0) 推荐(0)
安全运维管理-(四)设备维护管理
摘要: 安全运维管理 控制点 4.设备维护管理 等级保护对象使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质、供电和通信线缆等。系统的正常运行依赖于对这些设备的正确使用和维护。为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。 a) 安全要求 阅读全文
posted @ 2022-11-18 10:16 武装小灰灰 阅读(598) 评论(0) 推荐(0)
安全运维管理-(三)介质管理
摘要: 安全运维管理 控制点 3.介质管理 数据存储介质主要包括磁带、磁盘、光盘、(从设备内拆卸下来的)硬盘、移动硬盘、U盘、纸介质等。存储介质是用来存放与系统相关的数据的,如果不能妥善保存和管理,就可能造成数据的丢失与损坏。因此,要加强介质管理,对于介质的存放、使用、传输、维护、销毁等操作进行严格的控制。 阅读全文
posted @ 2022-11-18 10:16 武装小灰灰 阅读(639) 评论(0) 推荐(0)
安全运维管理-(二)资产管理
摘要: 安全运维管理 控制点 2.资产管理 等级保护对象的资产包括各种硬件设备(例如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质、供电和通信用线缆等)、各种软件(例如操作系统、数据库管理系统、应用系统等)、各种数据(例如配置数据、业务数据、备份数据等)和各种文件等。由于等级保护对象的资产种类 阅读全文
posted @ 2022-11-18 10:16 武装小灰灰 阅读(622) 评论(0) 推荐(0)
安全运维管理-(一)环境管理
摘要: 安全运维管理 安全运维管理是在等级保护对象建设完成投入运行之后,对系统实施的有效、完善的维护管理,是保证系统运行阶段安全的基础。 安全运维管理对安全运维过程提出了安全控制要求,涉及的控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、 阅读全文
posted @ 2022-11-18 10:15 武装小灰灰 阅读(758) 评论(1) 推荐(0)
安全建设管理-(十)服务供应商选择
摘要: 安全建设管理 控制点 10.服务供应商选择 服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。 a) 安全要求(重要):应确保服务供应商的选择符合国家的有关规定。 要求解读:对各类供应商的选择均应符合国家对其的管理要求,例如相关资质管理要 阅读全文
posted @ 2022-11-18 10:14 武装小灰灰 阅读(430) 评论(0) 推荐(0)
安全建设管理-(九)等级测评
摘要: 安全建设管理 控制点 9.等级测评 测评机构应依据国家网络安全等级保护制度,按照有关管理规范和技术规范,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测和评估。等级测评属于符合性评判活动,即依据网络安全等级保护的国家标准或者行业标准,按照特定的方法对等级保护对象的安全防护能力进行科学、公正的 阅读全文
posted @ 2022-11-18 10:14 武装小灰灰 阅读(425) 评论(0) 推荐(0)
安全建设管理-(八)系统交付
摘要: 安全建设管理 控制点 8.系统交付 系统交付管理是指对机房建设、系统集成、网络改造中的外包工程项目的系统交付的管理,明确了交付工作的各个环节(各类工程、系统相关文档交接及设备清点等),使交付工作人员能够规范地完成交付工作。 a) 安全要求(一般):应制定交付清单,并根据交付清单对所交接的设备、软件和 阅读全文
posted @ 2022-11-18 10:13 武装小灰灰 阅读(416) 评论(0) 推荐(0)
安全建设管理-(七)测试验收
摘要: 安全建设管理 控制点 7.测试验收 测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理,需明确测试验收的操作步骤、人员要求等。 a) 安全要求(一般):应制定测试验收方案,并根据测试验收方案实施测试验收,形成测试验收报告。 要求解读:此项的测试验收,既包括外包单位项 阅读全文
posted @ 2022-11-18 10:13 武装小灰灰 阅读(355) 评论(0) 推荐(0)
安全建设管理-(六)工程实施
摘要: 安全建设管理 控制点 6.工程实施 工程实施安全管理是指对机房建设、系统集成或网络改造建设等工程项目实施过程的安全管理。针对系统中的各类工程(机房建设、网络建设等),应明确工程实施人员的责任、实施方如何对工程过程进行控制(阶段性或季度性项目检查)等。 a) 安全要求(一般):应指定或授权专门的部门或 阅读全文
posted @ 2022-11-18 10:10 武装小灰灰 阅读(335) 评论(0) 推荐(0)
安全建设管理-(五)外包软件开发
摘要: 安全建设管理 控制点 5.外包软件开发 外包软件开发指一个机构将软件项目中的全部或部分工作发包给提供外包服务的第三方来完成。在将软件外包给第三方开发时应签订协议,以明确知识产权的归属、有关软件的配套技术培训和服务的承诺、软件质量保证及其他安全方面的具体要求等。 a) 安全要求(重要):应在软件交付前 阅读全文
posted @ 2022-11-18 10:10 武装小灰灰 阅读(646) 评论(0) 推荐(0)
安全建设管理-(四)自行软件开发
摘要: 安全建设管理 控制点 4.自行软件开发 为保证软件开发过程的安全性和规范性,应制定软件开发方面的管理制度,以规定开发过程的控制方法、明确人员行为准则。对整个开发过程,以及软件测试、开发文档的保管、使用及后续程序资源库的访问、维护,都应严格管理并加以限制。 a) 安全要求(重要):应将开发环境与实际运 阅读全文
posted @ 2022-11-18 10:09 武装小灰灰 阅读(542) 评论(0) 推荐(0)
安全建设管理-(三)产品采购和使用
摘要: 安全建设管理 控制点 3.产品采购和使用 产品采购管理是指对等级保护对象软硬件产品采购过程的管理,包括安全产品、网络产品、服务器、应用和系统软件、密码产品等。 a) 安全要求(关键):应确保网络安全产品采购和使用符合国家的有关规定。 要求解读:我国对网络安全产品的管理,在不同发展阶段可能存在不同的管 阅读全文
posted @ 2022-11-18 10:09 武装小灰灰 阅读(327) 评论(0) 推荐(0)
安全建设管理-(二)安全方案设计
摘要: 安全建设管理 控制点 2.安全方案设计 合理的安全方案是保障等级保护对象安全建设和运行的基础。安全方案的设计应根据网络等级保护对象的定级情况、等级保护对象承载业务情况进行,通过分析明确等级保护对象的安全需求,设计出既满足自身需求又满足等级保护要求的合理的安全方案,包括总体安全方案和详细设计方案。 a 阅读全文
posted @ 2022-11-18 10:09 武装小灰灰 阅读(546) 评论(0) 推荐(0)
安全建设管理-(一)定级和备案
摘要: 安全建设管理 等级保护对象建设过包括系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等阶段,每个阶段都涉及多项活动。只有对这些活动实施科学、完善的管理,才能保证系统建设的进度、质量和安全。 安全建设管理对安全建设过程提出了安全控制要求,涉及的安全控制点包括定级和备 阅读全文
posted @ 2022-11-18 10:08 武装小灰灰 阅读(499) 评论(0) 推荐(0)
安全管理人员-(四)外部人员访问管理
摘要: 安全管理人员 控制点 4.外部人员访问管理 外部人员包括向单位提供服务的外来人员,例如软硬件维护和支持人员、贸易伙伴或合作伙伴、清洁人员、送餐人员、保安、外包支持人员、学生、短期临时工作人员和安全顾问等。若安全管理不到位,则外部人员的访问将给等级保护对象带来安全风险。因此,应当根据可能的安全风险对外 阅读全文
posted @ 2022-11-18 10:07 武装小灰灰 阅读(709) 评论(0) 推荐(0)
安全管理人员-(三)安全意识教育和培训
摘要: 安全管理人员 控制点 3.安全意识教育和培训 安全意识教育和培训是提高员工安全技术和管理水平、增加员工安全知识、增强员工安全责任和安全意识的基础。 a) 安全要求(重要):应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 要求解读:安全意识教育和培训是提高人员的安全意识、 阅读全文
posted @ 2022-11-18 10:07 武装小灰灰 阅读(503) 评论(0) 推荐(0)
安全管理人员-(二)人员离岗
摘要: 安全管理人员 控制点 2.人员离岗 对离岗或调离人员,特别是因不符合安全管理要求而离岗的人员,必须严格办理离岗手续,与其进行离岗谈话,重申其调离后的保密义务,要求其交回所有钥匙及证件,退还全部技术手册、软件及有关资料,同时更换系统口令和机要锁等。 a) 安全要求(重要):应及时终止离岗人员的所有访问 阅读全文
posted @ 2022-11-18 10:06 武装小灰灰 阅读(306) 评论(0) 推荐(0)
安全管理人员-(一)人员录用
摘要: 安全管理人员 人是安全管理中最关键的因素。等级保护对象的整个生命周期都需要人的参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果参与人员的安全意识和业务能力没有保障,那么等级保护对象不可能实现真正的安全。只有对等级保护对象相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的 阅读全文
posted @ 2022-11-18 10:05 武装小灰灰 阅读(525) 评论(0) 推荐(0)