信息安全等级测评管理部分测评课件
信息安全等级保护测评
信息安全等级保护测评首先,信息安全等级保护测评是指对信息系统的安全等级进行评估和测定的过程。
它通过对信息系统的安全性能、安全技术和安全管理三个方面进行全面评估,从而为信息系统的安全等级提供客观、科学的评价依据。
信息安全等级保护测评的意义在于帮助企业和个人全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
其次,信息安全等级保护测评的目标是确保信息系统的安全等级符合国家和行业标准要求,保障信息系统的安全性能和安全可靠性。
通过信息安全等级保护测评,可以为信息系统的安全管理提供科学的依据,为信息系统的安全加固提供技术支持,为信息系统的安全运行提供保障。
针对信息安全等级保护测评的方法,主要包括安全等级保护测评的准备工作、安全等级保护测评的实施和安全等级保护测评的报告编制。
在准备工作阶段,需要明确测评的目标和范围,收集相关信息和资料,组织测评工作组等。
在实施阶段,需要进行安全性能测试、安全技术测试和安全管理测试等,全面评估信息系统的安全等级。
在报告编制阶段,需要对测评结果进行分析和总结,提出改进建议和措施,编制测评报告并提交相关部门。
最后,信息安全等级保护测评的应用范围涵盖了政府机关、企事业单位、金融机构、电信运营商等各个领域。
在信息化建设和信息系统运行中,都需要进行信息安全等级保护测评,以确保信息系统的安全等级达到国家和行业标准要求,保障信息资产的安全。
综上所述,信息安全等级保护测评是信息安全管理中不可或缺的重要环节,它对于评估和提升信息系统的安全等级具有重要意义。
通过科学、客观的测评方法,可以全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
在今后的信息化社会中,我们需要不断加强对信息安全等级保护测评的研究和实践,以应对日益严峻的信息安全挑战。
等级保护测评-完全过程(非常全面)[优质ppt]
![等级保护测评-完全过程(非常全面)[优质ppt]](https://img.taocdn.com/s3/m/a0f55dbb71fe910ef12df8d2.png)
组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
等级保护测评过程 以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
CISP课件-信息安全评估_V4.2
由上述条件可计算风险组织的年度预期损失及ROSI ,为组织提供一个良好的风险管理财务清单
34
风险评估常用方法-定量分析
根据历史数据获得EF:
10万÷100万×100%=10%
根据EF计算目前组织的SLE
10
TCSEC(可信计算机系统评估标准)
基本目标和要求
策略 问责 保证 文档
分级
D-最小保护
C-选择保护(C1、C2)
B-强制保护(B1、B2、B3)
A-验证保护(A1)
11
TCSEC
D
最小保护
C
自主保护
C1 --自主安全保护
C2 --受控访问保护
B
强制保护
的级别; 了解ISO 15408标准的适用范围、作用和使用中的
局限性; 了解GB/T 18336结构、作用及评估的过程; 理解评估对象(TOE)、保护轮廓(PP)、安全目
标(ST)、评估保证级(EAL)等关键概念; 了解信息安全等级测评的作用和过程。
8
安全评估标准
9
TCSEC(可信计算机系统评估标准)
准则; 通用的表达方式,便于理解 灵活的架构,可以定义自己的要求扩展CC要求
CC的局限性
CC标准采用半形式化语言,比较难以理解; CC不包括那些与IT安全措施没有直接关联的、属
于行政性管理安全措施的评估准则,即该标准并 不关注于组织、人员、环境、设备、网络等方面 的具体的安全措施; CC重点关注人为的威胁,对于其他威胁源并没有 考虑; 并不针对IT安全性的物理方面的评估(如电磁干 扰); CC并不涉及评估方法学; CC不包括密码算法固有质量的评估。
信息安全管理ppt课件
20
3.作业指导书
– 规范化的操作流程与工艺 如《XX业务终端的使用方法》
《门禁系统的操作方法与注意事项》
21
4.运行记录
– 控制过程的留痕 如《服务器外出维修申请单》
部署终端防病毒软件,对 终端实行恶意代码查杀
《关于终端防病毒软 件的运行维护规定》 《关于个人办公终端 的使用规范》中的终 端防病毒部分内容
《防病毒系统服务器维 略 护方法》
《终端杀毒软件的安装》 等
23
组织各类资源
– 资金(基础安全设施建设、安全咨询机构、外部专家) – 人员(三权分立 各司其职)
信息安全管理部门
安全管理
系统安全 工程
安全保证 管理
信息安全执行部门
运行管理
实施与运 作
安全保证 实施
28
国内外标准
行业规范、自有规范
总体方针
安全 策略
安全 组织
安全策略
人员 安全
访问 控制
业务连续 性管理
资产分 类与控制
物理与
通信和 系统开
环境安全 操作管理发与维护
遵循性
安全管理制度
操作手册、规范
《机房进出人员登记簿》
22
安全策略(防恶意代码)
控制措施
管理制度
操作指南
运行记录
对内外网边界进行恶意代码防 部署防毒墙,对网络边界
范
实行恶意代码查杀
《关于防病毒网关的 《防病毒网关的安装调 略
运行维护规定》
试手册》等
定义维护部门 人员
信息安全等级测评师模拟测试(3)-管理初级汇编
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示范,行业推广。
B、利用信息安全等圾保护测评工作使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划。
2、《测评要求》和哪一个文件是对用户系统测评的依据?()A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
3、测评单位开展工作的政策依据是?()A、公通字[2004] 66号。
B、公信安[2008] 736。
C、公信安[2010] 303号。
D、发改高技[2008] 2071。
4、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
5、以下关于信息安全等级保护标准体系说法不正确的?()A、基础标准:GB 17859—1999《计算机信息系统安全保护等级划分准则》, 在此基础上制定出技术类、管理类、产品类标准。
B、安全要求:GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》一~信息系统安全等级保护的行业规范。
C、系统定级:GB/T18336—2008《信息安全技术信息系统安全评估准则》——信息系统安全等级保护行业定级评估。
D、方法指导:《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》。
E、现状分析:《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。
6、安全规划设计基本过程包括()、安全总体设计、安全建设规划?A、项目调研。
B、概要设计。
C、需求分析。
D、产品设计。
7、信息系统为支撑其所承载业务而提供的程序化过程,称为()。
《信息安全等级保护测评机构管理办法》最新
信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法。
其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动。
等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构。
第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务。
第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统平安相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;(十)应具备的其他条件。
信息安全等级测评
信息安全等级测评信息安全等级测评是指对一个系统、网络或组织的信息安全状况进行评估和等级划分的过程。
在当今信息化社会,信息安全已经成为各个行业和企业面临的重要挑战之一。
因此,对信息安全等级进行科学、全面的测评,对于保障信息安全、防范信息泄露和网络攻击具有重要意义。
信息安全等级测评的目的在于通过对信息系统安全性的评估,为组织提供信息系统的安全等级,帮助组织了解其信息系统的安全状况,为组织提供安全建议和改进建议。
信息安全等级测评主要包括对信息系统的物理安全、网络安全、数据安全、应用安全、运维安全等方面进行评估,以确定信息系统的安全等级。
在进行信息安全等级测评时,需要考虑以下几个方面:1. 安全性能:评估信息系统的安全性能,包括系统的完整性、可用性、保密性等方面。
2. 安全风险:评估信息系统所面临的安全风险,包括外部攻击、内部威胁、数据泄露等风险。
3. 安全措施:评估信息系统的安全措施,包括防火墙、入侵检测系统、加密技术等安全措施的有效性和完整性。
4. 安全管理:评估信息系统的安全管理制度和安全管理人员的能力,包括安全策略、安全培训、安全监控等方面。
信息安全等级测评的过程主要包括以下几个步骤:1. 确定测评目标:确定测评的范围和目标,包括测评的对象、测评的内容、测评的标准等。
2. 收集信息:收集信息系统的相关资料和数据,包括系统架构、安全策略、安全事件记录等。
3. 进行评估:对信息系统进行安全性能评估、安全风险评估、安全措施评估和安全管理评估。
4. 制定建议:根据评估结果,制定信息系统的安全建议和改进建议,包括安全加固措施、安全培训计划等。
5. 编写报告:将评估结果和建议整理成报告,提交给组织管理者和相关人员。
信息安全等级测评的意义在于帮助组织了解其信息系统的安全状况,发现安全隐患和问题,并提供安全建议和改进建议,从而提高信息系统的安全性。
同时,信息安全等级测评也有助于组织满足法律法规和标准的要求,保护组织的核心信息资产,降低信息安全风险,提高组织的竞争力和可信度。
信息安全等级测评师模拟测试(2)-管理初级教学内容
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。
B、利用信息安全等圾保护综合工作平台使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划。
2、以下关于定级工作说法不正确的是?()A、确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
D、新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
3、测评单位开展工作的政策依据是?()A、公通字[2004] 66号。
B、公信安[2008] 736。
C、公信安[2010] 303号。
D、发改高技[2008] 2071。
4、一般来说,二级信息系统,适用于?()A、乡镇所属信息系统、县级某些单位中不重要的信息系统。
小型个体、私营企业中的信息系统。
中小学中的信息系统。
B、适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。
C、适用于重要领域、重要部门三级信息系统中的部分重要系统。
例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。
D、地市级以上国家机关、企业、事业单位内部一般的信息系统。
例如小的局域网,非涉及秘密、敏感信息的办公系统等。
5、安全测评报告由()报地级以上市公安机关公共信息网络安全检查部门?A、安全服务机构。
《信息系统安全等级保护等保测评安全管理测评》PPT
1序、号 背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级 备案、方案设计、产品采购使用、软件开发、 工程实施、验收交付、等级测评、安全服务等 内容的管理责任部门、具体管理内容和控制方 法,并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点 岗位设置 人员配备 授权和审批
沟通和合作
审核和检查 合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略,制定安 全管理制度。确定安全管理目标和安全策略, 针对信息系统的各类管理活动,制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管 系统建设负责人 人事负责人 系统运维负责人 物理安全负责人 系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等
信息安全管理(第五章 信息系统安全测评)
信息系统安全等级测评要求
LOGO
测评对象是指测评实施的对象,即测评过程中 涉及到的制度文档、各类设备及其安全配置和 相关人员等。 测评方法包括: ①访谈 ②检查 ③测试
信息系统安全等级测评要求
等级测评内容
LOGO
等级测评的实施过程由单元测评和整体测评两 部分构成。 单元测评满足概念性框架的三部分内容:测评 输入、测评过程和测评输出。 整体测评主要包括安全控制点间、层面间和区 域间安全测评
3现场测评活动的输出文档任务输出文档文档内容现场测评准备会议记录确认的测评授权书更新后的测评计划和测评程序工作计划和内容安排双发人员的协调测评委托单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈记录文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的记录配置检查技术安全测评的网络主机应用测评结果记录检查内容的记录工具测试技术安全测评的网络主机应用测评结果记录工具测试完成后的电子输出记录备份的测试结果文件漏洞扫面渗透性测试性能测试入侵检测和协议分析等内容的技术测试结果实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的记录测评结果确认现场核查中发现的问题汇总证据和证据源记录测评委托单位的书面认可文件测评活动中发现的问题问题的证据和证据源每项检查活动中测评委托单位配合人员的书面认可logo信息安全等级测评
信息系统安全测评流程
信息系统安全测评包括:
LOGO
资料审查 核查测试 综合评估 测评流程如图5-2所示
被测用户提交测评申请以及相关材 料 测评机构对被测单位提供的资料进 行形式化审查
信息系统安全测评流程
LOGO
与被测单位协商,帮助用户完善 应提交的相关资料
向被测单位出具形式化审查报告
信息安全等级测评师测试(1)-管理初级
一、单选题(20分)1、《基本要求》中管理要求中,下面那一个不是其中的内容?()A、安全管理机构。
B、安全管理制度。
C、人员安全管理。
D、病毒安全管理。
2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求?()A、一级。
B、二级。
C、三级。
D、四级。
3、三级系统基本要求中管理要求控制类共有()项?A、32。
B、36。
C、37。
D、38。
4、《测评要求》和哪一个文件是对用户系统测评的依据?A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
这应当属于等级保护的什么级别?()A、强制保护级。
B、监督保护级。
C、指导保护级。
D、自主保护级。
7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重要内容?A、安全定级。
B、安全评估。
C、安全规划。
D、安全实施。
8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、第三方人员访问管理5各方面。
A、人员教育。
B、人员裁减。
C、人员考核。
D、人员审核。
9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作?A、公安机关。
信息系统安全等级保护等保测评网络安全测评ppt.(ppt)
3、检查内容-结构安全
一、结构安全(7项) 结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息
系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余
空间。
检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量。 访谈网络管理员,询问采用何种手段对网络设备进行监控。
信息系统安全等级 保护等保测评网络 安全测评ppt.(ppt)
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
1、前言
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作: 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息系统安全等级保护定级指南》(GB/T22240-2008) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护实施指南》(报批稿) .......
1、前言
• 网络安全是指对信息系统所涉及的通信网络、网络 边界、网络区域和网络设备等进行安全保护。具体 关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制、 安全审计、入侵防范、恶意代码防范、网络设备自 身保护和网络的网络管理等方面
检查方法 检查边界设备和主要网络设备,查看是否进行了路由控制建立安全
的访问路径。 以CISCO IOS为例,输入命令:show running-config 检查配置文件中应当存在类似如下配置项: ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态) router ospf 100 (动态) ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
信息安全等级保护测评工作管理规范(试行)
附件一:信息安全等级保护测评工作管理规范(试行)第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条本规范适用于等级测评机构和人员及其测评活动的管理。
第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上,无违法记录;(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(九)对国家安全、社会秩序、公共利益不构成威胁;(十)应当具备的其他条件。
第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。
信息安全等级测评师培训讲义(PDF 123页)
24
测评方式-访谈-访谈对象
各方面负责人(物理安全、人事、系统 建设、系统运维)
主要针对机构信息安全各个具体方面的问题 进行总体式提问
主要集中在:人员安全管理、系统建设管理、 系统运维管理、物理安全
25
测评方式-访谈-访谈对象
各类管理人员(系统安全管理员、网络 安全管理员等)
测评方式
访谈 检查
29
测评方式-检查
检查——不同于行政执法意义上的监督 检查,是指测评人员通过对测评对象进行 观察、查验、分析等活动,获取证据以证 明信息系统安全保护措施是否有效的一种 方法。
30
测评方式-检查
检查方式 检查对象 检查与访谈的关系
31
测评方式-检查-检查方式
文档查看 现场察看
15
测评方法和流程
主要测评工具 测评方式 测评工作前期准备 现场测评流程
16
测评方法和流程-主要测评工具
安全管理测评作业指导书 物理安全测评作业指导书
17
测评方法和流程-测评方式
访谈 检查
18
测评方式-访谈
访谈——测评人员通过与信息系统有关人 员(个人/群体)进行交流、讨论等活动, 获取相关证据表明信息系统安全保护措施 是否落实的一种方法。在访谈的范围上, 应基本覆盖所有的安全相关人员类型,在 数量上可以抽样。
8
测评依据
信息系统安全等级保护基本要求 GB/T 22239-2008
信息系统安全等级保护测评要求(报批 稿)
信息系统安全等级保护测评过程指南 (报批稿)
9
测评依据-标准中管理要求形成思路
政策和制度
限制
指导
机构和人员
信息系统安全保护等级测评
信息系统安全保护等级测评是对信息系统安全等级保护状况进行检测评估的活动。
根据《信息安全等级保护管理办法》,信息系统安全等级测评工作一般包括以下步骤:
1. 系统定级:根据业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4. 等级测评:测评机构对信息系统等级测评,形成测评报告。
5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
在等级测评过程中,一般采用5个方式,循序渐进地进行测试流程。
具体包括:1. 系统定级:对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
2. 系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3. 建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4. 等级测评:测评机构对信息系统等级测评,形成测评报告。
5. 合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
总之,信息系统安全保护等级测评是保障信息系统安全的重要手段之一,通过定期的测评和整改加固可以确保信息系统的安全性和稳定性。
信息安全测评标准ppt
”产品、系统,(3)安全功能(3)安全功能11个功能类: • • FAU类:安全审计 • • FCO类:通信 • • FCS类:密码支持 • FDP类:用户数据保护• • FIA类:标识与鉴别 • • FMT类:安全管理 FPR类:隐私 FPT类:TSF保护 FRU类:资源利用 FTA类:TOE访问 FTP类:可信路径/ 信道31(4) 安 全 保 证(4) 安 全 保 证32(5)评估保证级• • • • • • • • 七个评估保证级别: EAL1 功能测试 EAL2 结构测试 EAL3 系统地测试和检查 EAL4 系统地设计、测试和复查 EAL5 半形式化设计和测试 EAL6 半形式化验证的设计和测试 EAL7 形式化验证的设计和测试(5) 评 估 保 证 级33(5) 评 估 保 证 级3 国标GB/T 18336• • • • • 等同采用ISO 15408三部分 第一部分: 第二部分: 第三部分: 安全技术要求:《XXX防火墙安全技术要求》 《路由器安全技术要求》 《网络代理服务器安全技术要求》 《政务公开网站通用安全技术要求》34标准DB11/T 1711 2 3 4 5 概述 安全定级准则 安全技术要求 安全管理要求 安全测评工作1 概述• 以往的安全测评针对产品的居多,如何对集成的信息 网络系统进行安全测评,是一个备受关注、富有挑战 性的课题 • DB11/T 171党政机关信息系统安全测评规范,从党政 机关信息系统的信息资产价值和威胁分析出发,落实 “安全等级保护”思想 • 吸纳GB/T 18336和ISO 17799的优点 • 主要分两大部分:安全技术要求、安全管理要求 • 安全技术要求分四个层次:网络系统层、操作系统 层、公共应用平台层、党政应用系统层 • 安全管理要求分10个大项:共121个安全管理要素352 安全定级准则--基线等级 系统处理的信息价值 系统所处理的信息为一般信息。
信息安全等级保护测评
信息安全等级保护测评信息安全等级保护测评是指根据国家有关法律法规和标准,对信息系统的信息安全等级进行评估和认证的过程。
信息安全等级保护测评是信息系统安全保护的重要环节,它可以帮助企业和组织全面了解信息系统的安全状况,发现安全隐患,及时采取措施加以解决,保障信息系统的安全运行。
首先,信息安全等级保护测评需要全面梳理信息系统的安全要求和安全功能,明确信息系统的安全等级。
在信息系统建设初期,需要对系统进行等级划分,包括国家秘密、商业秘密、一般公共信息等级别,根据不同等级的信息系统,确定相应的安全保护要求和技术措施。
通过对信息系统的等级划分,可以有针对性地开展信息安全等级保护测评工作,保证测评工作的准确性和有效性。
其次,信息安全等级保护测评需要综合考虑信息系统的物理环境、网络环境、应用环境等多方面因素。
在信息系统的建设和运行过程中,需要对系统进行全面的风险评估和安全漏洞扫描,及时发现和解决可能存在的安全隐患。
同时,还需要对信息系统的网络拓扑结构、数据传输加密、访问控制、安全审计等方面进行综合评估,确保信息系统的安全性和稳定性。
另外,信息安全等级保护测评需要结合实际情况,采用科学的测评方法和工具。
在进行信息安全等级保护测评时,可以采用定性和定量相结合的方法,综合运用风险评估、安全漏洞扫描、安全测试等手段,全面评估信息系统的安全等级。
同时,可以借助专业的测评工具和软件,对信息系统的安全性能进行全面检测和评估,为信息安全等级保护提供科学依据。
最后,信息安全等级保护测评需要建立完善的管理机制和监督体系。
在信息系统的建设和运行过程中,需要建立健全的信息安全管理制度,明确各方责任和权限,加强对信息系统的安全监控和管理。
同时,还需要建立信息安全等级保护测评的监督机制,定期对信息系统进行安全等级测评和认证,及时发现和解决安全问题,确保信息系统的安全运行。
总之,信息安全等级保护测评是保障信息系统安全的重要环节,需要全面梳理安全要求,综合考虑多方面因素,采用科学的方法和工具,建立完善的管理机制和监督体系。
信息安全系统等级测评师模拟测试(3)-管理系统初级
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示,行业推广。
B、利用信息安全等圾保护测评工作使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划。
2、《测评要求》和哪一个文件是对用户系统测评的依据?()A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
3、测评单位开展工作的政策依据是?()A、公通字[2004] 66号。
B、公信安[2008] 736。
C、公信安[2010] 303号。
D、发改高技[2008] 2071。
4、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
5、以下关于信息安全等级保护标准体系说法不正确的?()A、基础标准:GB 17859—1999《计算机信息系统安全保护等级划分准则》, 在此基础上制定出技术类、管理类、产品类标准。
B、安全要求:GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》一~信息系统安全等级保护的行业规。
C、系统定级:GB/T18336—2008《信息安全技术信息系统安全评估准则》——信息系统安全等级保护行业定级评估。
D、方法指导:《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》。
E、现状分析:《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。
6、安全规划设计基本过程包括()、安全总体设计、安全建设规划?A、项目调研。
B、概要设计。
C、需求分析。
D、产品设计。
7、信息系统为支撑其所承载业务而提供的程序化过程,称为()。
A、客体。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
@
感谢观看
系统运维管理
划分系统管理员角色,分析日志和审计; 建立系统安全管理制度; 对重要日常工作建立操作规程;
网络安全管理
制定专门人员对网络进行管理; 建立网络安全管理制度; 对重要日常工作建立操作规程;
专人检测恶意代码及时处理,保存记录; 建立防病毒制度,规定用户的防病毒行为、 软件的授权使用、恶意代码库升级、定期汇 报等;
章节
1
安全管理制度
安全管理制度
管理制度 安全管理 制度
制定和发布 评审和修订
1.1 管理制度
最高层的安全文件
信息安全 方针策略 各种安全管理活动的 管理制度 安全操作规程
以上一层为指导
“金字塔”式的 安全管理制度文件 体系
具体活动步骤和方 法,必须体现上二 层的策略和原则
1.2 制定和发布
在相关部门管的负责和指导下,严格按照制度制定的有关程序和方法
5
系统运维管理
系统运维管理
根据资产的重要性标识; 根据资产的价值选择管理措施;
环境管理 资产管理
确保机房运行环境良好和安全; 办公环境的严格管理和控制;
介质管理
专门人员定期设备维护管理; 制定设备管理制度; 制定重要设备的操作规程;
设备管理
规定介质的存放、使用、传输、维护、销毁; 根据重要程度分类标识; 介质的加密存储、异地存储;
沟通协调 授权审批
章节
3
人员安全管理
人员安全管理
人是信息系统中最关键的因素,信息系统整
个生命周期都需要有人来参与,只有对信息系统
相关人员实施科学、完善的管理。才有可能降低 认为操作失误所带来的风险,根据《基本要求》, 三级系统对以下几项提出要求:
人员安全管理
人员录用
01
04
人员离岗
安全意识教育和培训
02
人员考核
03
05
外部人员访问管理
章节
4
系统建设管理
系统建设管理
系统定级 安全方案设计
其中系统备案中:已建信息系统在确定安全保护等级 30日内,第二级以上信息系统必须到系统主管部门和 相应公安备案。
安全服务商选择 等级测评
产品采购 自行软件开发
外包软件开发
系统备案 系统交付
测试验收 工程实施
章节
根据《基本要求》(GB/T22239——2008), 各个级别信息系统安全管理需要落实的内容包括
前言
安全管理制度、安全管理机构、人员安全管理、 系统建设管理和系统运维管理共五个方面。本章
将分别介绍着五个方面内容的具体评测方法。
1
安全管理制度
2
安3
人员安全管理 系统建设管理
系统运维管理
在同一的应急预案框架下制定不同安全 事件的应急预案; 针对应急预案进行培训和演练,及时修 订不适用的内容。
识别需要备份的业务信息、系统数据 及软件系统等; 规定备份信息的备份方式、备份频度、 存储介质、备份和恢复流程、有效性 检查等
应急预案管理
划分安全事件等级,规定安全件的现 场处理、事件报告和后期回顾;规定 不同安全事件报告和响应处理程序
起草
论证
评审
发布
1.3 评审和修订
安全管理制度体系制定并实施后,需要对体系中的
相关文件进行评审和修订,以适应实际环境和情况的变 化,保证安全管理制度体系文件的适用性
章节
2
安全管理机构
安全管理机构
安全管理的重要实施条件就是建立一个统一指挥、协调有序、组织 有力的安全管理机构。
人员配备
岗位设置
审核检查
采用工具进行检测和报警; 定期对记录进行分析,出分析报告; 建立安全管理中心集中管理;
系统运维管理
建立密码使用管理制度,规定秘钥 的产生、分发、存储、更换、使用 和废止
密码管理
建立变更管理制度,规定变更类型、变 更申报和审批、变更过程、变更前评估 和变更失败后恢复等
变更管理
备份与恢复管理 安全事件处理