您的位置:360文档中心› 等保测评项目启动会材料

等保测评项目启动会材料

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

测评工作的方法
访谈 – 对象:信息安全主管、安全管理员、系统管理员、网络管理员、资产 管理员等 – 工具:管理核查表
检查 – 对象:文档、各类设备、安全配置、机房、存储介质等 – 工具:核查表
测试 – 扫描检测 – 攻击 – 渗透
等级保护测评流程
等级测评的主要活动
测评准备活动(3个任务) 方案编制活动(6个任务) 现场测评活动(3个任务) 报告编制活动(6个任务)
项目依据
《信息安全等级保护管理办法》(公通字[2007]43号) 《计算机信息安全保护等级划分准则》(GB 17859-1999) 《信息系统安全保护等级定级指南》(GB/T 22240-2008) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》
测评委托单位职责:
– a) 对测评方案进行认可,并签字确认。
方案编制活动-可能遇到的问题
信息系统网络边界的确定 测评对象选择原则的应用 测试工具接入点的选择 测评指导书的开发
现场测评活动
现场测评活动是开展等级测评工作的核心活动。
现场测评活动双方职责
测评机构职责:
– a) 利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护 措施情况,并获取相关证据。
中烟工业有限公司系统承载着各类业务系统的通讯和数据传输, 其保障能力和防护水平都至关重要。在信息系统建设过程中,难 免会存在一些缺陷。对XX公司系统进行信息安全等级保护测评 ,有利于摸清该系统安全建设的整体水平,发现其中的不足,从 而有针对性地进行建设和整改。
项目目的
实施信息安全等级保护,可以有效地提高中烟工业有限公司 系统安全建设的整体水平,并且指明了方向。有利于在信息 化建设过程中同步建设信息安全设施,保障信息安全与信息 化建设相协调;有利于加强对涉及国家安全、经济秩序、社 会稳定和公共利益的信息系统的安全保护和管理监督;有利 于明确国家、法人和其他组织、公民的安全责任,强化政府 监管职能,共同落实各项安全建设和安全管理措施;有利于 提高安全保护的科学性、整体性、针对性,推动信息安全产 业水平,逐步探索一条适应社会主义市场经济发展的信息系 统安全的发展模式。
测评准备活动-可能遇到的问题
调查表格填写 –协调困难 –填写不准确 –设备互联不清楚
工具和表单准备 –无法搭建模拟环境
方案编制活动
方案编制活动是开展等级测评工作的关键活动,为现 场测评提供最基本的文档和指导方案。
方案编制活动双方职责
Байду номын сангаас评机构职责:
– a) 详细分析被测系统的整体结构、边界、网络区域、重要节点等。 – b) 初步判断被测系统的安全薄弱点。 – c) 分析确定测评对象、测评指标和测试工具接入点,确定测评内容及方法。 – d) 编制测评方案文本,并对其内部评审,并提交被测机构签字确认。
测评委托单位职责: – a) 向测评机构介绍本单位的信息化建设状况与发展情况。 – b) 准备测评机构需要的资料。 – c) 为测评人员的信息收集提供支持和协调。 – d) 准确填写调查表格。 – e) 根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议 – f) 制定应急预案。
测评准备活动
测评准备活动是开展等级测评工作的前提和 基础,是整个等级测评过程有效性的保证。
测评准备活动双方职责
测评机构职责: – a) 组建等级测评项目组。 – b) 指出测评委托单位应提供的基本资料。 – c) 准备被测系统基本情况调查表格,并提交给测评委托单位。 – d) 向测评委托单位介绍安全测评工作流程和方法。 – e) 向测评委托单位说明测评工作可能带来的风险和规避方法。 – f) 了解测评委托单位的信息化建设状况与发展,以及被测系统的基本情况。 – g) 初步分析系统的安全情况。 – h) 准备测评工具和文档。
单项测评结果判定
单元测评结果判定
整体测评
风险分析
等级测评结论形成
测评报告编制
报告编制活动双方职责
• 测评机构职责:
安全等级保护测评项目启动会
汇报主题
项目背景 项目目的 项目依据 项目主要内容 等保保护测评流程 等级测评的主要活动
测评存在的风险及规避措施
项目组织结构 项目实施计划 项目交 付 成 果和报 告
项目背景
2003年,《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确提出信息安全等级保护的概念,同 时明确要重点保护基础信息网络和关系国家安全、经济命脉、社 会稳定等方面的重要信息系统,作为国家经济命脉重要组成部分 的金融业,其信息系统被各级公安机关列为重点保护对象。
测评委托单位职责:
– a) 测评前备份系统和数据,并确认被测设备状态完好。 – b) 协调被测系统内部相关人员的关系,配合测评工作的开展。 – c) 签署现场测评授权书。 – d) 相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。 – e) 相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对
项目主要内容
对中烟工业有限公司已备案的生产网络系统系统安 全保护等级进行差距测评分析。依据《信息系统安 全等级保护基本要求》,对物理机房、网络结构、 管理类文档等进行合规性检查,发现信息系統与安 全保护等级要求之间的差距,出具《中烟工业有限 公司系统安全等级保护测评报告》及提出具有针对 性的整改意见。
系统运行的影响。 – f) 相关人员协助测评人员完成业务相关内容的问询、验证和测试。 – g) 相关人员对测评结果进行确认。 – h) 相关人员确认测试后被测设备状态完好。
现场测评活动-可能遇到的问题
配合、协调 测评结果版本控制 测试工具故障
报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测 系统整体安全保护能力的综合评价活动。
相关文档
最新文档