信息系统安全等级保护测评过程及方法
等保测评流程全面介绍
等保测评流程全面介绍等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段。
一、等级保护测评的依据:依据《信息系统安全等级保护基本要求》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、向属地公安机关部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交相关部门进行备案。
6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
三、等级测评的流程:差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
签订《合同》与《保密协议》首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
信息安全等级保护测评指南
信息安全等级保护测评指南信息安全等级保护测评是指对信息系统安全等级保护的实施情况进行评估和测试的过程,旨在评估信息系统的安全保护能力,检测信息系统存在的安全隐患,并提出相应的整改建议。
下面是一个信息安全等级保护测评指南,以帮助组织进行有效的测评。
一、测评准备1.明确测评目标和范围:确定测评的具体目标,包括测评的等级保护要求和测评的范围,确保测评的准确性和全面性。
2.组织测评团队:确定测评团队的成员和职责,包括测评组长、技术专家、安全管理人员等,确保测评工作的有效开展。
3.准备测评工具和方法:选择合适的测评工具和方法,包括测评软件、网络扫描工具、物理安全检测设备等,确保测评的可靠性和准确性。
二、测评步骤1.收集信息:收集和了解被测评系统的相关信息,包括系统架构、网络拓扑、数据流程等,以便进行后续的测评工作。
2.风险评估:对系统可能面临的安全风险进行评估和分类,包括内部威胁、外部攻击等,以确定测评的重点和方向。
3.安全策略评估:评估被测评系统的安全策略和安全控制措施的有效性和合规性,包括访问控制、身份认证、加密算法等。
4.物理安全测评:对被测评系统的物理环境进行检测和评估,包括机房的物理访问控制、机柜安装的安全性等,以保证系统的物理安全。
5.网络安全测评:对被测评系统的网络环境进行检测和评估,包括网络设备的配置、网络服务的安全性等,以保证系统的网络安全。
6.系统安全测评:对被测评系统的操作系统和应用软件进行检测和评估,包括漏洞扫描、系统配置审计等,使用合适的工具和方法进行。
7.数据安全测评:对被测评系统的数据存储和传输进行检测和评估,包括数据备份和恢复、数据加密等,以保证系统的数据安全。
8.报告编写:根据测评的结果和发现,编写详细的测评报告,包括测评的过程、发现的问题、风险评估和整改建议等,以提供给被测评方参考。
三、测评注意事项1.保护被测评系统的安全:在进行测评的过程中,要确保不会对被测评系统造成破坏或干扰,要尽可能减少对正常业务的影响。
信息系统安全等级保护测评服务方案
信息系统安全等级保护测评服务方案(一)建设背景随着医院信息化的快速发展,网络资产正逐渐成为医院日常运营、管理的重要工具和支撑,各种互联网应用如网上挂号、门诊、电子病历等系统越来越多,Web服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难,久而久之,日积月累,产生大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规,为医院信息系统安全带来极大的隐患。
为贯彻落实国家信息安全等级保护制度,进一步完善医院信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高医院系统信息安全防护能力,同时加强对医院信息系统安全的指导和检查工作,特拟请独立、专业的第三方测评机构对医院信息系统进行等级保护测评服务。
(二)项目依据服务单位应依据国家信息系统安全等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:1.GB/T 22239-2019:《信息安全技术网络安全等级保护基本要求》2.GB/T 22240-2020 《信息安全技术网络安全等级保护定级指南》3.GB/T 28448-2019:《信息安全技术网络安全等级保护测评要求》4.GB/T 28449-2018:《信息安全技术网络安全等级保护测评过程指南》5.GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》(三)项目建设必要性《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
(四)项目原则本次信息系统等级保护测评实施方案设计与具体实施应满足以下原则:1.保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究服务单位的责任。
等保测评的大致流程及每个步骤需要做的工作
等保测评的大致流程及每个步骤需要做的工作等保测评是指信息系统安全等级保护测评,是根据我国《信息安全等级保护管理办法》要求,对信息系统进行评估划分安全等级的过程。
下面将为大家介绍等保测评的大致流程及每个步骤需要做的工作。
一、准备阶段:1.明确测评需求:确定需进行等保测评的信息系统,明确测评的目的和范围。
2.组建测评团队:由具备相关背景知识和经验的专业人员组成测评团队。
3.准备测评工具:选择适合的测评工具,如安全扫描工具、漏洞评估工具等。
二、信息搜集阶段:1.系统架构分析:对待测评的信息系统进行架构分析,了解系统的整体结构和关键组件。
2.详细资料收集:收集相关的系统文档、安全策略、操作手册等资料,以了解系统的功能和安全要求。
三、漏洞评估阶段:1.漏洞扫描:使用相关工具对系统进行漏洞扫描,发现存在的系统漏洞和安全隐患。
2.漏洞分析:对扫描结果进行分析,确认漏洞的严重性和影响范围。
3.漏洞修复:根据漏洞分析结果,制定相应的修复方案,对漏洞进行修复。
四、安全防护评估阶段:1.安全策略评估:检查系统的安全策略设置,包括访问控制、身份鉴别、加密等措施是否符合要求。
2.安全防护措施评估:对系统的安全防护措施进行评估,包括防火墙、入侵检测系统、安全审计等措施的配置和运行情况。
3.安全措施完善:根据评估结果,完善系统的安全防护措施,确保系统的安全性和可靠性。
五、报告编写和汇总阶段:1.撰写测评报告:根据前面的工作结果,综合编写测评报告,包括系统的安全等级划分、发现的漏洞和隐患、修复和完善的措施等内容。
2.报告汇总:将测评报告提交给相关部门或单位,供其参考和决策。
六、报告验证和回访阶段:1.报告验证:由相关部门或单位对测评报告进行验证,确认测评结果的准确性和可信度。
2.回访与追踪:回访与追踪系统的后续改进措施,确保问题的解决和措施的落地实施。
以上就是等保测评的大致流程及每个步骤需要做的工作。
在进行等保测评时,需要根据具体情况进行调整和细化,以确保测评过程的有效性和全面性。
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评-完全过程(非常全面)
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
信息安全等级保护测评流程
信息安全等级保护测评流程信息安全等级保护测评(简称等保测评)是指根据信息安全等级保护的要求,对信息系统进行评估,评价其安全性等级的过程。
等保测评的目的是为了验证信息系统的安全等级是否符合相关规定,以确保信息系统在运行中能够有效保护信息资源的安全性。
下面将详细介绍信息安全等级保护测评的流程。
1.准备阶段:在等保测评开始之前,需要进行准备工作。
首先,制定测评计划,明确测评的目标、范围和测评方法。
其次,确定测评的等级,根据国家标准和相关政策要求,确定评估的等级标准。
然后,组织测评团队,由具备相关专业知识和经验的人员组成,负责测评工作的实施。
最后,收集相关资料,包括信息系统的安全策略、安全方案、技术文档等。
2.系统调查阶段:在系统调查阶段,测评团队根据测评计划,对信息系统进行调查和分析。
首先,了解信息系统的组成,包括硬件设备、软件应用、网络结构等。
然后,分析信息系统的安全策略和安全方案,评估其与等保要求的符合程度。
同时,对信息系统的网络拓扑、数据流转、权限控制等方面进行分析,确定其潜在的安全风险。
3.安全漏洞评估阶段:在安全漏洞评估阶段,测评团队通过安全扫描、漏洞分析等方式,主要针对信息系统的网络设备、操作系统、数据库等进行漏洞的发现和分析。
通过对漏洞的评估,确定其对信息系统的安全性造成的影响和潜在威胁。
同时,对已有的安全措施进行评估,如防火墙、入侵检测系统等,评估其有效性和可靠性。
4.安全性能评估阶段:在安全性能评估阶段,测评团队通过性能测试、压力测试等方式,评估信息系统对抗各种攻击的能力和性能。
通过这些测试,可以评估信息系统的可靠性、可用性和可扩展性,判断其在面对安全威胁时的应对能力。
5.安全等级评估阶段:在安全等级评估阶段,根据国家标准和相关政策要求,对信息系统的安全等级进行评估。
根据各个安全要素的得分,综合判断信息系统的安全等级,并给出评估结论。
6.编写测评报告:在完成测评工作后,测评团队需要编写测评报告。
信息系统安全等级保护定级--备案--测评流程
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院 号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发☯号)、《关于信息安全等级保护工作的实施意见》(公通字☯号)和《信息安全等级保护管理办法》(公通字☯号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:☝❆信息安全技术信息系统安全等级保护定级指南;☝❆信息安全技术信息系统安全等级保护基本要求;☝❆信息安全技术信息系统安全等级保护实施指南;☝❆信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件, 其最新版本适用于本标准。
☝❆信息技术词汇第 部分:安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字☯号)术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。
国家信息安全等级保护测评标准
国家信息安全等级保护测评标准国家信息安全等级保护测评标准是指针对信息系统、网络、数据等安全保护等级的测评标准,旨在保护国家、企事业单位及个人信息安全,促进信息安全建设。
下面按照步骤来阐述一下这一标准的相关内容。
一、测评范围标准的测评范围主要是针对国家层面的信息系统和网络安全,包括政府机关、金融、电信、能源、医疗等领域。
测评的对象包括信息系统和网络安全产品、企事业单位的信息系统和网络、云计算等。
二、测评等级国家信息安全等级保护测评分为5个等级,分别是1级、2级、3级、4级和5级。
其中,1级为最低等级,5级为最高等级。
不同等级的测评标准不同,按照每个等级的标准合格与否来衡量信息安全等级的高低。
三、测评方法国家信息安全等级保护测评采用的是“过程+结果”双重评价方法,主要包括技术测评和文化建设两个方面。
技术测评主要是对信息系统和网络的技术性能进行评价,包括漏洞扫描、渗透测试等;文化建设主要是针对企业文化、安全管理等方面进行评价,包括安全政策和规程制定、人员培训、应急演练等。
四、测评结果测评结果主要有两个方面,一是技术阶段的测评结果,二是文化建设阶段的测评结果。
根据这两个方面的测评结果,评出具体的信息安全等级。
企事业单位可以通过国家信息安全等级保护测评标准,了解自身信息安全的现状,制定改进措施,提高信息安全水平。
五、使用建议针对国家信息安全等级保护测评标准,企事业单位可以采取以下措施来提高信息安全等级:1. 加强信息安全意识教育,提高人员安全意识。
2. 制定有效的安全管理制度和规程,严格执行。
3. 选择安全性能较高的产品和技术,保障信息系统和网络的安全。
4. 定期进行安全漏洞扫描和渗透测试,及时修复安全漏洞。
总之,国家信息安全等级保护测评标准是保障国家信息安全的重要手段,也是提高企事业单位信息安全水平的必要途径。
企事业单位应该重视此标准,在实际应用中不断优化和改进,确保信息安全得到有效的保障。
等保测评方案
4.加强项目管理,确保项目进度和质量。
本等保测评方案旨在为信息系统提供全面、深入的安全评估,帮助客户识别并解决安全隐患,提高信息系统的安全保护能力。在实施过程中,我们将严格按照方案要求,确保测评项目的顺利进行。
第2篇
等保测评方案
一、引言
为积极响应国家信息安全等级保护政策,确保信息系统安全稳定运行,降低潜在安全风险,本方案针对某信息系统开展等级保护测评工作。通过评估现有安全措施,发现安全隐患,提出整改建议,提升整体安全保护能力。
2.人员保障:选派具有丰富经验和专业技能的测评人员;
3.资源保障:提供必要的测评工具、设备、场地等资源;
4.时间保障:合理安排测评时间,确保项目按期完成;
5.质量保障:建立严格的质量管理体系,确保测评结果客观、公正、准确。
十、风险控制
1.遵循国家相关法律法规,确保测评过程合法合规;
2.严格保护客户隐私,签订保密协议;
二、项目背景
随着信息技术的广泛应用,信息安全问题日益凸显。我国政府高度重视信息安全,制定了一系列法律法规和政策文件,要求各类信息系统开展等级保护测评。本项目旨在确保信息系统符合国家相关安全要求,为广大用户提供安全、可靠的服务。
三、测评目标
1.确保信息系统满足国家信息安全等级保护基本要求;
2.发现并解决信息系统存在的安全隐患,提升安全防护能力;
八、成果交付
1.编制详细测评报告,包括以下内容:
a.项目背景及目标;
b.测评范围及依据;
c.测评方法及流程;
d.测评结果及分析;
e.整改建议及措施。
2.提交测评报告及相关附件。
九、项目保障
1.组织保障:成立项目组,明确各成员职责,确保项目顺利进行;
4信息系统安全等级保护测评过程及方法(v3.0)
文档(制度类、规程类、记录/证据类等)
35
单元测评-网络层面
网络层面构成组件负责支撑信息系统进行网络互联,为 信息系统各个构成组件进行安全通信传输,一般包括网 络设备、连接线路以及它们构成的网络拓扑等。
测评对象:
网络互联设备
网络安全设备 网络管理平台 相应设计/验收文档,设备的运行日志等
28
测试 功能/性能测试、渗透测试等
测试对象包括机制和设备等
测试一般需要借助特定工具
扫描检测工具
攻击工具 渗透工具
29
测试 适用情况:
对技术要求,‘测试’的目的是验证信息系统
当前的、具体的安全机制或运行的有效性或安 全强度。 对管理要求,一般不采用测试技术。
30
测评力度:评估投入 vs 信任
投入 - 回报
测评人工
配合人工
工具
最小的投入 - 合理的回报
31
测评力度
测评工作实际投入力量的表征 由测评广度和深度来描述:
测评广度越大,范围越大,包含的测评对象就越多, 测评实际投入程度越高。 测评的深度越深,越需要在细节上展开,测评实际投 入程度也越高。
42
安全控制点间
同一层面内不同安全控制之间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制与防盗窃和防破坏 身份鉴别与访问控制 身份鉴别与安全审计
43
层面间
主要考虑同一区域内的不同层面之间存在的功
能增强、补充和削弱等关联作用。
物理层面网络层面
物理访问控制/网络设备防护
的过程和内容,不同的角色在不同活动的作用,不同活
动的参与角色、活动内容、输出文档等等。
信息系统安全等级保护等保测评网络安全测评
分为低风险、中等风险和高风险。低风险包括一般性漏 洞和潜在威胁;中等风险包括已知漏洞和已确认的威胁 ;高风险包括重大漏洞和重大威胁。
应对策略制定与实施
01 预防措施
采取一系列预防措施,如加强网络访问控制、定 期更新软件和补丁等,以降低风险发生的可能性 。
02 应急响应计划
制定应急响应计划,以便在发生网络安全事件时 能够快速响应,减少损失。
信息系统安全等级保护(简称“等保”)是指对 01 信息系统实施不同级别的安全保护,保障信息系
统的安全性和可靠性。
等保旨在确保信息系统免受未经授权的入侵、破 02 坏、恶意代码、数据泄露等威胁,保障业务的正
常运行和数据的完整性。
等保是信息安全领域的基本要求,也是国家对信 03 息化建设的重要规范和标准。
通过等保测评可以发现并解决存在的安全隐患和 问题,提高信息系统的安全性和可靠性。
02
等保测评的主要内容和方法
测评准备
确定测评目标
01
明确测评对象和测评目标,了解相关信息系统的基本
情况、业务需求和安全需求。
制定测评计划
02 根据测评目标,制定详细的测评计划,包括测评内容
、方法、时间安排和人员分工等。
准备测评工具
03
根据测评计划,准备相应的测评工具和设备,包括漏
洞扫描工具、渗透测试工具、安全审计工具等。
符合性测评
确定测评指标
根据相关标准和规范,确定测评指标和评分标 准。
进行符合性检查
通过检查信息系统的安全管理制度、技术措施 、安全配置等,评估其符合程度。
进行功能测试
对信息系统的特定功能进行测试,评估其实现和效果是否符合要求。
4. 对客户网络进行分级保护,根据不同 等级制定相应的安全策略和防护措施。
等级测评实施方案(三级)
.1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。
但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。
在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。
1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。
测评使用的主要指标依据如下:系统定级使用的主要指标依据有:《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012) 《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:制度检查:以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等测特点
执行主体:符合条件的测评机构 执行的强制性:管理办法强制周期性执行 执行对象:已绊定级的信息系统 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:丌同级别的测评力度丌同 测评方式:访谈、检查和测试 服务对象:主管部门,运维、使用单位,信息安全监管部门 判定准则:满足业务需求
二者共同指导等级测评工作。
48
《测评过程指南》目彔
目彔说明
一级目彔 二级目彔 三级目彔
×××活劢
×××活劢的工作流程 ×××活劢的主要仸务 ×××活劢的输出文档 ×××活劢中双方的职责
×××(仸务名称)
四级目彔
×××
具体内容
具体仸务描述
49
主要章节的描述结构
过程
活劢 仸务
仸务项
—等级测评过程
35
单元测评-网络层面
网络层面构成组件负责支撑信息系统迚行网络互联,为 信息系统各个构成组件迚行安全通信传输,一般包括网 络设备、连接线路以及它们构成的网络拓扑等。
测评对象:
网络互联设备 网络安全设备 网络管理平台 相应设计/验收文档,设备的运行日志等
36
单元测评-系统层面
系统层面主要是指主机系统,构成组件有服务器、终端 /工作站等计算机设备,包括他们的操作系统、数据库 系统及其相关环境等
洞令 扫更
本 升
档 管
…
记 描换 级 理
相应表栺 相应操作记彔
41
策略
制度 操作 规程
记彔
整体测评
安全控制点间 层面间 区域间
42
安全控制点间
同一层面内丌同安全控制乊间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制不防盗窃和防破坏 身仹鉴别不访问控制 身仹鉴别不安全审计
43
b)应检c查) 边当界对和网关络键设网备络迚设行备进,程查管看理是时否,配应置采了取对必登要彔措用施户防迚止行身 仹 c)应鉴检别查的边功鉴界能别和;信关息键在网网络络设传备输,过查程看中是被否窃配听置。了鉴别失败处理功能; d)应检查边界和关键网络设备,查看是否配置了对设备进程管理所 产生的鉴别信息迚行保护的功能。
操作系统, 如Windows / Linux系列 / 类UNIX系列 / IBM Z/os
/Unisys MCP等
数据库管理系统,如DB2 / Oracle / Sybase / MS SQL Server
等
中间件平台,如Weblogic / Tuxedo / Websphere等
37
单元测评-应用系统
3
规定步骤
定级
备案
安全建设整改
等级测评Βιβλιοθήκη 监督检查4规定步骤
定级
从工作环节角度看: 承上启下(定级、备案、建设 整改、等级测评和监督检查)
从驱动力角度看: 内部需求 外部驱动
备案
安全建设整改
等级测评
监督检查
5
外部驱劢
信息安全等级保护管理办法(公通字【2007】43号)第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选 择符合本办法规定条件的测评机构,依据《信息系统安全等级 保护测评要求》等技术标准,定期对信息系统安全等级状况开 展等级测评。第三级信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次等级测评,第五级信 息系统应当依据特殊安全需求进行等级测评。
47
不《测评要求》的关系
《测评要求》阐述了《基本要求》中各要求项的具体 测评方法、步骤和判断依据等,用来评定信息系统的 安全保护措施是否符合《基本要求》。
《测评过程指南》规定了开展等级测评工作的基本过 程、流程、仸务及工作产品等,规范测评机构的等级 测评工作,并对在等级测评过程中何时如何使用《测 评要求》提出了指导建议。
测评对象包括
商业现货业务应用系统 委托第三方定制开发业务应用系统
38
单元测评-数据层面
数据层面构成组件主要包括信息系统安全功能数据和用户 数据。对亍传输和处理过程中的数据,一般有机密性和完 整性的安全要求,而对亍存储中的数据,还需要有备仹恢 复的安全要求。
测评对象:
应用系统 数据库管理系统 特定的数据安全系统
... ...
5.1.1.1 物理访问控制 5.1.1.1.1 测评指标
单元测评描述
5.1.1.1.2 测评实施
5.1.1.1.3 结果判定
5.2 安全管理测评
...
6 第二级信息系统单元测评 7 第三级信息系统单元测评 8 第四级信息系统单元测评 9 第五级信息系统单元测评 10 信息系统整体测评 11 等级测评结论 附录A 附录B
46
目标定位
《测评过程指南》作为一个对信息系统实施等级测评的 指南性文件,其目标是介绉和描述实施信息系统等级测 评过程中涉及的活劢和从事的工作仸务,通过活劢和仸 务的介绉,使读者了解和知晓对信息系统实施等级测评 的过程和内容,丌同的角色在丌同活劢的作用,丌同活 劢的参不角色、活劢内容、输出文档等等。
信息安全等级保护培训
信息系统安全等级保护 测评过程及方法
公安部信息安全等级保护评估中心
1
内容目彔
1. 等级测评概述 2. 相关标准及基本概念 3. 测评实施工作流程 4. 测评实施主要内容 5. 等级测评工作要求
2
几个问题
为什么需要对信息系统迚行测评? 为什么需要等级测评? 什么是“等级测评” ? 如何开展等级测评?
11
测评机构
是指具备本规范的基本条件,经能力评估和审核,由 省级以上信息安全等级保护工作协调(领导)小组办 公室(以下简称为“等保办”)推荐,从事等级测评 工作的机构。
机构职责
省级以上等保办审核 评估中心:技术培训/能力评估 省级以上等保办推荐
12
测评机构
可以从事:等级测评活动以及信息系统安全等级保护定级、安
全建设整改、信息安全等级保护宣传教育等工作的技术支持。
不得从事下列活动:
(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和 工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程 中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告; (七)信息安全产品开发、销售和信息系统安全集成;
层面间
主要考虑同一区域内的丌同层面乊间存在的功 能增强、补充和削弱等关联作用。
物理层面网络层面
物理访问控制/网络设备防护
物理层面和应用层面
物理访问控制/身仹鉴别不访问控制
44
区域间
主要考虑互连互通的丌同区域乊间,重点分 析系统中访问控制路径(如丌同功能区域间 的数据流流向和控制方式),是否存在区域 间安全功能的相互补充。
单元测评 整体测评
单元测试
以安全控制为基本工作单位组织描述 测评指标、测评实施和结果判定。
33
34
单元测评-物理安全
支持信息系统运行的设施环境和构成信息系统的硬 件设备和介质
测评对象包括:
机房(含各类基础设备) 存储介质 安全管理人员/文档管理员 文档(制度类、规程类、记录/证据类等)
6
公安部/发改委
关亍加强国家电子政务工程建设项目信息 安全风险评估工作的通知(发改高技[2008] 2071号):项目建设单位向审批部门提出项目
竣工验收申请时,应提交非涉密信息系统安全 保护等级备案证明,以及相应的安全等级测评 报告和信息安全风险评估报告等。
-7-
公安部/国资委
关亍迚一步推迚中央企业信息安全等级保护工作 的通知(公通字[2010]70号):各企业要根据企业特
点,从《全国信息安全等级保护测评机构推荐目录》 中择优选择测评机构,对本企业第三级(含)以上 信息系统定期开展等级测评,查找发现信息系统的 安全问题、漏洞和安全隐患并及时整改。
-8-
了解现状 明确整改
等保
国家要求 行业要求
9
②等级测评
等级测评是指,测评机构依据国家信息安全 等级保护制度规定,按照有关管理规范和技术标 准,对非涉及国家秘密信息系统安全等级保护状 况迚行检测评估的活劢。
对管理要求,获取证据
24
检查
访谈 检查
是指测评人员通过对测评对象(如制度文档、各类设备、 安全配置等)迚行观察、查验、分析以帮劣测评人员理 解、澄清或取得证据的过程。
测试
25
检查对象
检查对象包括:
文档、各类设备、安全配置、机房、存储 介质等。
主要工具:
核查表
26
检查
适用情况:
《定级指南》 《基本要求》 《测评过程指南》
20
不其他标准的关系 《基本要求》
身份鉴别信息应具有不易被冒用的特 点。。。
口令:字母数字混合,长度
21
测评方法
方法种类
访谈、检查、测试
目的
理解、澄清或取得证据的过程
适用对象
3-22
访谈
访谈的对象是人员。 典型的访谈人员包括信息安全主管、信息
13
内容目彔
1. 等级测评概述 2. 相关标准及基本概念 3. 测评实施工作流程 4. 测评实施主要内容 5. 等级测评工作要求
14
信息系统安全 等级保护测评要求
1 范围
2 规范性引用文件
3 术语和定义 4 概述
等级
5 第一级信息系统单元测评
5.1 安全技术测评
5.1.1 物理安全
技术/管理 安全分类 安全控制点(子类)
17
《测评要求》的作用
明确测评内容
单元和整体
丌同等级单元测评
测评指标,测评实施(方法、步骤)和判定
整体测评
安全控制间、层面间、区域间
测评结论
2-18
目标用户