等级保护三级-管理类测评
等级保护测评试题
一、单选题1、下列不属于网络安全测试范畴的是(C)A.结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护2、下列关于安全审计的内容说法中错误的是(D)A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息C.应能够根据记录数据进行分析,并生成审计报表D.为了节约存储空间,审计记录可以随意删除、修改或覆盖3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个(A)A.exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0104、用于发现攻击目标(A)A.ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描ping扫描:用于发现攻击目标操作系统识别扫描:对目标主机运行的操作系统进行识别端口扫描:用于查看攻击目标处于监听或运行状态的。
5、路由器工作在(C)A.应用层B.链接层C.网络层D.传输层6、防火墙通过____控制来阻塞邮件附件中的病毒。
(A)A.数据控制B.连接控制C.ACL控制D.协议控制7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是(B)A.10.110.12.0B.10.110.12.30C.10.110.12.31D.10.110.12.328、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令:(A)A.show running-configB.show buffersC. show starup-configD.show memory9、路由器命令“Router(config)#access-list 1 permit 192.168.1.1”的含义是:(B)A.不允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束B.允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束C.不允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则结束D.允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则检查下一条语句。
等级保护测评-完全过程(非常全面)
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等级保护三级-管理类测评
应严格规范人员录用过程,对被录用人的身份、背景、 专业资格和资质等进行审查,对其所具有的技术技能 进行考核。
34.
应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗 位安全协议。
人员 离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有 访问权限。
访谈,检查。安全主管,人事工作人员, 安全处理记录,保密承诺文档。
访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。
、
13.
应加强与兄弟单位、公安机关、电信公司的合作与沟 通。
14.
应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。
16.
31.
应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
存在不足或需要改进的安全管理制度进行修订。
人员
安全
管理
人员
录用
32.
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人 员,人员录用要求管理文档, 人员审查 文档或记录,考核文档 或记录,保密 协议。
10.
应定期审查审批事项, 及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
信息安全等级测评师模拟测试(3)-管理初级汇编
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示范,行业推广。
B、利用信息安全等圾保护测评工作使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划。
2、《测评要求》和哪一个文件是对用户系统测评的依据?()A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
3、测评单位开展工作的政策依据是?()A、公通字[2004] 66号。
B、公信安[2008] 736。
C、公信安[2010] 303号。
D、发改高技[2008] 2071。
4、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
5、以下关于信息安全等级保护标准体系说法不正确的?()A、基础标准:GB 17859—1999《计算机信息系统安全保护等级划分准则》, 在此基础上制定出技术类、管理类、产品类标准。
B、安全要求:GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》一~信息系统安全等级保护的行业规范。
C、系统定级:GB/T18336—2008《信息安全技术信息系统安全评估准则》——信息系统安全等级保护行业定级评估。
D、方法指导:《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》。
E、现状分析:《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。
6、安全规划设计基本过程包括()、安全总体设计、安全建设规划?A、项目调研。
B、概要设计。
C、需求分析。
D、产品设计。
7、信息系统为支撑其所承载业务而提供的程序化过程,称为()。
三级等保测评具体标准
三级等保测评具体标准
三级等保测评的具体标准包括以下几个方面:
1. 安全物理环境:包括机房和场地的选择、建筑安全、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电等方面。
2. 安全通信网络:包括网络架构、通信传输、可信设备、边界安全防护等方面。
3. 安全区域边界:包括区域隔离和访问控制、入侵防范、恶意代码和垃圾邮件防范等方面。
4. 安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等方面。
5. 安全管理中心:包括安全集中管理、安全审计管理、配置管理等方面。
此外,三级等保测评还要求建立完善的安全管理制度,包括安全事件处置、应急预案、安全审计等。
同时,应配备足够的安全管理专业人员,负责网络安全管理、安全监测、安全审计等工作。
以上信息仅供参考,如需获取更多详细信息,建议咨询网络安全专业人士。
等级保护测评-完全过程(非常全面)
信息系统终止
2021/10/10
7
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与 实施、安全运行维护、信息系统终止”等五个阶段。
信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、
公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责, 谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分 析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指 导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系 统的安全保护现状与等级保护要求之间的差距。 安全设计与实施 安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步 落实安全措施 安全运行维护 安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与 维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥 的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上 述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其 它标准或指南 信息系统终止 信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的 敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上 2021/1的0/废10弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移8 、 设备迁移和介质销毁等方面的安全
等级保护测评考试真题汇总(简答题部分)
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
等级保护三级安全运维管理对象选择及实施要点
机房安全责任人值班记录文档,机房配电设施、空调设施、测温设施、消防设施,包含对配电、空调、温湿度控制、消防设备的设计/验收文档,维护管理记录文档。
1)应核查机房是否指定了专门的部门或者人员负责机房的安全,包含部门和人员岗位职责记录文档;2)应核查机房是否对出入管理人员进行了登记记录,需重点核查机房人员出入管理登记文档中的人员出入时间,时长,活动范围等;3)应核查机房的供配电设备、空调设备、温湿度控制设备、消防设备是否能够正常运行,是否存在个别损坏设备,针对长期运行的设备是否按时进行维护管理工作,特别是对各个设备维护记录文档的核查,应该包含维护日期、维护人、维护设备、维护原因和维护结果等。
机房安全管理制度,包含物理访问管理制度、物品进出管理制度、环境安全管理制度。
1)应核查机房是否制定了完善详细的安全管理制度,重点核查该机房安全管理制度审批文档;2)应核查机房安全管理制度是否做了详细的领域划分,主要应包含出入人员对机房的物理访问情况的记录文档、机房内物品进出时的登记文档以及审批记录、机房环境安全上是否有详细的措施,比如机房防静电措施等。
不同办公区域重要等级划分设计/验收文档,办公环境安全管理制度。
1)应核查安全管理制度是否包含办公环境相关说明;2)应核查制度中是否根据重要程度明确的划分了不同的办公区域;3)应核查安全管理制度文档中对诸如敏感信息纸质文档、挪移介质的管理条例,具体的如日常办公敏感信息纸质文档等是否采取了有效的保护措施,日常涉及工作的公用/私用挪移介质是否完好的收藏,并核查是否派专人对其管理。
安全运维资产管理清单,包含各级资产责任部门划分文档、资产责任部门的重要程度记录文档和资产部门所处位置的记录文档等。
1)应核查资产清单中是否包含设备资产、软件资产、各种文档资产等;2)应核查具体资产责任部门,该责任部门的重要程度审批文档和所处位置审批文档。
资产管理员,资产分类标识,资产管理措施管理制度类文档和设备包含资产入库、维修、出库等相关的资产记录单,信息资产管理制度等。
等级保护测评考试真题汇总(简答题部分)
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
等保测评3级-技术测评要求
等保测评3级-技术测评要求等保测评3级技术评测要求技术测评要求(S3A3G3)等保测评3级技术评测要求等级保护三级技术类测评控制点(S3A3G3)类别序号10. 11.12. 13. 防雷击14. 15. 16. 防火17. 18. 19. 防水和防潮20.21. 22. 测评内容应对介质分类标识,存储在介质库或档案室中。
(G2) 应利用光、电等技术设置机房防盗报警系统。
(G3) 应对机房设置监控报警系统。
(G3) 机房建筑应设置避雷装置。
(G2) 应设置防雷保安器,防止感应雷。
(G3) 机房应设置交流电源地线。
(G2) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
(G3) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
(G3) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
(G3) 水管安装,不得穿过机房屋顶和活动地板下。
(G2) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
(G2) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
(G2) 应安装对水敏感的检测仪表或元件,对机房进访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线) ,建筑防雷设计/验收文档。
访谈,检查。
物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档。
测评方法告。
结果记录符合情况Y N访谈,检查。
物理安全负责人,机房维护人员,机房设施(上下水装置,除湿装置) , 建筑防水和防潮设计/验收文档。
等保测评3级技术评测要求等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容行防水检测和报警。
(G3) 防静电23. 24. 主要设备应采用必要的接地防静电措施。
(G2) 机房应采用防静电地板。
(G3) 访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
访谈,检查。
等级保护测评试题
、单选题1、下列不属于网络安全测试范畴的是(C)A.结构安全 B. 便捷完整性检查 C. 剩余信息保护 D. 网络设备防护2、下列关于安全审计的内容说法中错误的是(D)A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息C.应能够根据记录数据进行分析,并生成审计报表D.为了节约存储空间,审计记录可以随意删除、修改或覆盖3、在思科路由器中,为实现超时10 分钟后自动断开连接,实现的命令应为下列哪一个(A)A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0104、用于发现攻击目标( A)A. ping 扫描B. 操作系统扫描C. 端口扫描D. 漏洞扫描ping 扫描:用于发现攻击目标操作系统识别扫描:对目标主机运行的操作系统进行识别端口扫描:用于查看攻击目标处于监听或运行状态的。
5、路由器工作在( C)A. 应用层B. 链接层C. 网络层D. 传输层6、防火墙通过___ 控制来阻塞邮件附件中的病毒。
( A)A. 数据控制B. 连接控制C.ACL 控制D. 协议控制7、与 10.110.12.29 mask 255.255.255.224 属于同一网段的主机 IP 地址是( B)A. 10.110.12.0B.10.110.12.30C.10.110.12.31D.10.110.12.328、查看路由器上所有保存在flash 中的配置数据应在特权模式下输入命令:( A)A. show running-configB.show buffersC. show starup-configD.show memory9、路由器命令“ Router ( config ) #access-list 1 permit 192.168.1.1 ”的含义是:( B)A不允许源地址为 192.168.1.1 的分组通过,如果分组不匹配,则结束B. 允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束C. 不允许目的地址为192.168.1.1 的分组通过,如果分组不匹配,则结束D. 允许目的地址为 192.168.1.1 的分组通过,如果分组不匹配,则检查下一条语句。
等级保护三级管理测评
53.
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
54.
应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
55.
应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
51.
应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
资产管理
52.
应编制并保存与信息统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
17.
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
信息安全等级保护三级系统测评标准
信息安全等级保护三级系统测评标准好的,以下是为您生成的一篇关于【信息安全等级保护三级系统测评标准】的文章:---# 信息安全等级保护三级系统测评标准## 前言嘿,朋友们!在当今这个数字化的时代,信息就像我们生活中的宝贝一样重要。
不管是企业的商业机密,还是咱们个人的隐私信息,都得好好保护起来。
那要怎么保护呢?这就有了信息安全等级保护三级系统测评标准。
这个标准啊,就像是给我们的信息穿上了一层坚固的铠甲,让那些可能的威胁和风险都没法轻易靠近。
今天咱们就来好好聊聊这个标准,弄清楚它到底是怎么保护咱们的信息安全的!## 适用范围这个信息安全等级保护三级系统测评标准适用的场景那可多了去了。
比如说,像银行、证券、保险这些金融机构的重要业务系统,还有政府部门的关键信息系统,比如税务、社保啥的。
说白了,只要是那些涉及到大量敏感信息、对社会或经济运行有着重要影响的信息系统,都得按照这个标准来进行保护。
给您举个例子,一家大型电商平台,它有成千上万的用户信息,包括姓名、地址、银行卡号等等。
如果这些信息泄露了,那后果不堪设想。
所以,这样的系统就必须得符合信息安全等级保护三级系统的测评标准,从技术到管理,全方位保障用户信息的安全。
再比如,一家医院的电子病历系统,里面有患者的各种诊疗信息,这也是极其敏感和重要的数据,同样得遵循这个标准来进行防护。
## 术语定义在了解这个标准之前,咱们先得弄清楚几个关键的术语。
**信息系统**:你可以想象成是一个专门处理和存储信息的“大盒子”,它有各种软件、硬件、网络啥的,共同完成信息的收集、处理、存储和传输。
**等级保护**:这就像是给信息系统划分“等级”,根据重要程度和受到威胁后的影响程度来分,不同等级有不同的保护要求,咱们说的三级就是比较重要的一个等级。
**安全测评**:简单来说,就是对信息系统的安全性进行“检查”,看看它是不是符合规定的标准和要求。
## 正文### 一、物理安全1. 物理位置的选择- 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
等级保护三级安全管理人员对象选择及实施要点
安全管理人员1人员录用1.1应指定或授权专门的部门或人员负责人员录用1.1.1对象选择被测单位信息/网络安全主管,以及人员录用的制度类文档和记录表单类文档。
1.1.2实施要点1)应访谈被测单位信息/网络安全主管,了解部门人员招聘、录用的流程。
为保证人员录用过程的规范,应明确专门的部门或人员负责。
2)应核查人员录用相关制度类文档,是否明确体现人员录用过程的相关人员职责,以及录用的流程等内容。
3)应核查在岗信息/网络安全部门员工合同,以及招聘、录用的相关材料,无论是长期聘用的员工还是合同员工、临时员工。
4)员工的聘用合同中,是否明确说明员工在网络安全方面应遵守的规定和应承担的安全责任,并在员工的聘用期内实施监督机制。
1.2应对被录用人员的身份,安全背景,专业资格或资质等进行审查,对其所具有的技术技能进行考核1.2.1对象选择被测单位信息/网络安全主管,负责人力资源管理相关人员,以及人员录用的制度类文档和记录表单类文档。
1.2.2实施要点1)应核查人员录用相关制度类文档,是否明确体现人员录用身份、安全背景、专业资格或资质审查的要求;2)应核查人员录用时对录用人身份、背景、专业资格和审查的相关记录表单类文档。
3)应核查人员录用时的技能考核文档或记录,考核是否形成记录并保留。
1.3应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议1.3.1对象选择被测单位人员招聘、录用工作的负责人,人员录用的制度类文档和记录表单类文档。
1.3.2实施要点1)应访谈被测单位人员招聘、录用工作负责人,了解人员招聘和录用的流程。
2)应检查人员招聘、录用相关制度类文档,是否明确体现人员在录用前与组织签署保密协议、关键岗位人员签署岗位责任协议等安全要求。
3)应抽查被测单位录用人员的保密协议,是否明确体现员工的保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。
4)抽查关键岗位(如部门负责人、系统管理员或数据库管理员等涉及组织重要敏感信息的岗位)安全协议,关键岗位安全协议是否明确体现该岗位的安全职责、协议有效期限和责任人签字等内容。
(网络安全法)信息系统安全等级保护测评表单-三级技术类
信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内;检查主要设备或设备的主要部件的固定情况,查看其是否不易被移动
c) 应访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、
渗透和返潮现象,则查看是否能够及时修复解决;
7.1.1物理安全
潮
护措施;b) 应检查机房设备外壳是否有安全接地;
电磁防护7.1.1.6。
等级测评实施方案(三级)
.1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。
但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。
在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。
1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。
测评使用的主要指标依据如下:系统定级使用的主要指标依据有:《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012) 《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:制度检查:以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。
三级等保评测文件资料资料
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (2)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (5)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (6)2.4.6安全管理文档 (6)2.5安全环境 (7)3等级测评围与方法 (8)3.1测评指标 (8)3.1.1基本指标 (8)3.1.2附加指标 (10)3.2测评对象 (11)3.2.1选择方法 (11)3.2.2选择结果 (11)3.3测评方法 (14)3.3.1现场测评方法 (14)3.3.2风险分析方法 (14)4等级测评容 (14)4.1物理安全 (15)4.1.1结果记录 (15)4.1.2问题分析 (15)4.1.3单元测评结果 (15)4.2网络安全 (15)4.2.1结果记录 (15)4.2.2问题分析 (17)4.2.3单元测评结果 (17)4.3主机安全 (18)4.3.1结果记录 (18)4.3.2问题分析 (19)4.3.3单元测评结果 (19)4.4应用安全 (19)4.4.1结果记录 (19)4.4.2问题分析 (19)4.4.3单元测评结果 (19)4.5数据安全及备份恢复 (19)4.5.1结果记录 (19)4.5.2问题分析 (19)4.5.3单元测评结果 (19)4.6安全管理制度 (20)4.6.1结果记录 (20)4.6.2问题分析 (20)4.6.3单元测评结果 (20)4.7安全管理机构 (20)4.7.1结果记录 (20)4.7.2问题分析 (20)4.7.3单元测评结果 (20)4.8人员安全管理 (20)4.8.1结果记录 (20)4.8.2问题分析 (21)4.8.3单元测评结果 (21)4.9系统建设管理 (21)4.9.1结果记录 (21)4.9.2问题分析 (21)4.9.3单元测评结果 (21)4.10系统运维管理 (21)4.10.1结果记录 (21)4.10.2问题分析 (21)4.10.3单元测评结果 (21)4.11工具测试 (22)4.11.1结果记录 (22)4.11.2问题分析 (22)5等级测评结果 (22)5.1整体测评 (22)5.1.1安全控制间安全测评 (22)5.1.2层面间安全测评 (22)5.1.3区域间安全测评 (22)5.1.4系统结构安全测评 (22)5.2测评结果 (23)5.3统计图表 (28)6风险分析和评价 (28)6.1安全事件可能性分析 (28)6.2安全事件后果分析 (29)6.3风险分析和评价 (30)7系统安全建设、整改建议 (31)7.1物理安全 (31)7.2网络安全 (31)7.3主机安全 (31)7.4应用安全 (31)7.5数据安全及备份恢复 (31)7.6安全管理制度 (32)7.7安全管理机构 (32)7.8人员安全管理 (32)7.9系统建设管理 (32)7.10系统运维管理 (32)附:信息系统安全等级保护备案表1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
人员离岗
应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。
访谈,检查。安全主管,人事工作人员,安全处理记录,保密承诺文档。
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
应实现设备的最小服务配置,并对配置文件进行定期离线备份。
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
密码管理
应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
访谈,检查。
安全管理员,密码管理制度。
变更管理
应确认系统中要发生的变更,并制定变更方案。
访谈,检查。
系统运维负责人,系统变更申请书,变更方案,变更管理制度,变更申报和审批程序,变更失败恢复程序文档,变更方案评审记录,变更过程记录文档。
监控管理和安全管理中心(G3)
应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
访谈,检查。
系统运维负责人,监测记录文档,监测分析报告,安全管理中心。
应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
访谈,检查。
安全管理员,恶意代码防范管理文档,恶意代码检测记录,恶意代码升级记录,恶意代码分析报告。
应指定专人对网络和主机进行恶意代码检测并保存检测记录。
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
设备管理
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
访谈,检查。资产管理员,系统管理员,审计员,服务器操作规程,设备审批、发放管理文档,设备使用管理文档,服务器操作日志。
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
应配备专职安全管理员,不可兼任。
应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全检查记录。
应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
介质管理
应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
访谈,检查。资产管理员,介质管理记录,各类介质。
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
人员录用
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议。
应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录。
应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
应记录审批过程并保存审批文档。
沟通和合作
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
访谈,检查。安全主管,安全管理人员,会议文件,会议记录,外联单位说明文档。
`
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
应对安全教育和培训的情况和结果进行记录并归档保存。
外部人员访问管理
应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。
应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。
应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
应保证所有与外部系统的连接均得到授权和批准。
应依据安全策略允许或者拒绝便携式和移动式设备的网络接入。
应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
系统安全管理
应根据业务需求和系统安全分析确定系统的访问控制策略。
访谈,检查。
安全管理员,系统管理员,系统操作手册,系统安全管理制度,详细操作日志,系统审计分析记录,系统漏洞扫描报告。
备份与恢复管理
应识别需要定期备份的重要业务信息、系统数据及软件系统等。
访谈,检查。
系统运维负责人,系统管理员,数据库管理员,网络管理员,备份和恢复管理制度文档,备份和恢复策略文档,备份和恢复程序文档,备份过程记录文档,检查灾难恢复计划文档
应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
管理制度
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程。
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
恶意代码防范管理
应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
访谈,检查。安全主管,安全管理人员,安全责任合同书或保密协议,第三方人员访问管理文档,登记记录。