等级保护测试实施方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
小结
运营、使用单位或主管部门 选择符合要求的测评机构进 行等保测评
3级系统每年一次等保测评; 4级系统每半年进行一次等保
测评; 5级系统根据特殊安全需求进
行等保测评。
4级及以上系统每两年进行一
次等保测评;
3级以下系统每三年进行一次
等保测评;
期间应每年开展安全自评估;
新系统上线一年后可进行等
第十四条:明确规定,信息系统建设完成后,运营、 使用单位或者其主管部门应当选择符合本办法规定条件 的测评机构,依据《信息系统安全等级保护测评要求》 等技术标准,定期对信息系统安全状况开展等级测评;
第三级信息系统应当每年至少进行一次等级测评,第 四级信息系统应当每半年至少进行一次等级测评,第五 级信息系统应当依据特殊安全需求进行等级测评。
物理相关 负责人
23
安全问题与解决方法匹配
需解决的问题
受测系统筛选 1、选定有一定代表意义的受测系统, 针对选定的系统进行严格的等保测评。
等保测评
2、具备一定权威性的等保测评报告。
安全整改 3、提供安全整改建议,按照安全整 改建议进行整改满足等保基本要求。
解决方法
(一)受测系统筛选方法
1
受测系统业务量; 受测系统重要性; 受测系统实施性。
④ 安全整改确 认
25
(二)等保测评过程和内容:测评准备阶段
1、项目启动
• 组建项目测评组; • 编制项目计划书; • 确定测评委托单位应
提供的资料。
2、资料收集和分析
• 查阅定级报告、系统 描述文件、系统安全 设计方案、自查或上 次等保测评报告;
• 根据查阅到的系统情 况调整调查表内容;
• 发放调查表给测评委 托单位。
21
(二)等保测评过程和内容:测评内容与测评技术
安全测 评内容
物理安全
开放式沟通
问卷调查
安全测评技术
文档分析
现场观察
配置检查
脆弱性自 动识别
UPS等功 能和容量
网络安全 主机安全
受测范 围确定
网络拓扑 结构分析
渗透测试
可能影 响系统
应用安全 数据安全 安全管理
定级和相关 活动访谈
管理层访 谈
业务流程与 数据分析
① 测评工作准 备
② 测评资料收 集
③ 工作启动
① 业务调研 ② 资产调研与
确认 ③ 扫描方案编
制
① 测评工具准 备
② 现场测评准 备
③ 脆弱性自动 检测
④ 安全技术测 评
⑤ 安全管理测 评
Step 4
Step 5
① 综合分析与 结论
② 测评报告编 制
① 安全整改计 划
② 安全整改方 案
③ 安全整改实 施与跟踪
3、等保测评实施,出具权
威性的等保测评报告,提供
安全整改建议。
8
测评范围确定建议
系统范围
1 建立筛选的规则,通过规则进 行对象选择
2 如办公系统、电子商务系统等
物理范围
1 支撑信息系统的机房 2 办公地址 3 其他分子公司
人员范围
1 相关领导 2 信息系统使用及管理相关人员 3 机房使用及管理相关人员
3级系统1年 4级系统半年
有
2012年开展
完成730套
完成300多
3级系统1年
有
信息系统
套信息系统
4级系统半年
2011年开展
完成800套 信息系统
完成200套 左右
3级系统3年 4级系统2年
有(新成立) 2015年开展
90%
3级系统3年
3/1
4级系统2年
新成立
开展较晚
5
已经开展的等级 保护测评工作 信息系统定级; 信息系统测评; 信息系统测评
(二)等保测评过程和内容
2
等级保护测评手段; 等级保护综合测评; 等级保护测评过程。
(三)安全整改建议
3
确定整改期限和责任部门;
2种安全改进建议;
技术改进组合。
24
(二)等保测评过程和内容:5个阶段,20项任务
测评准备
调研与方案编制
现场测评
测评报告
安全整改
Step 1
Step 2
Step 3
6
主题2
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
7
项目需求理解
等级保护测评 的必要性
1、国家要求;
2、行业要求;
3、企业要求。
需解决的问题
项
1、明确受测系统筛选规则,
目
确定受测系统及相关的测评 对象范围;
需
2、明确测评工作目标,安 全测评工作指导,满足等级
求
保护基本要求;
3、工具和表单准备 • 调试测评工具; • 模拟测评; • 准备和打印表单。
26
(二)等保测评过程和内容:方案编制阶段
1、测评对象确认
• 识别被测系统等级; • 识别被测系统的整体结构; • 识别被测系统的边界; • 识别被测系统的网络区域。
2、测评指标确定
• 识别被测系统业务信息和 系统服务安全保护等级;
等级保护测评实施方案
1
主题1
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
2
背景相关内容
① 其他行业测评要求及开展等 保测评情况;
② 等保测评要求及开展等保测 评情况;
③ 各行业开展等保测评对比情 况
2
行业层面
1
国家层面
① 国家法律(定期对定级 的信息系统进行等级测 评)
行业 层面
四级(含)以上信息系统每两年开展一次等保测评, 期间应每年开展安全自评估,如系统与互联网有信息 交换,应每年开展一次等保测评;
等级保护三级(含)以下信息系统每三年开展一次 等保测评,期间应每年开展安全自评估,如系统与互 联网有信息交换,应每两年开展一次测评;首次安全 等级测评应在系统上线后一年内进行。
接入互联网,部分功能对外开放
用户较多
实时性较高
19
17
(二)等保测评过程和内容:等级保护综合测评
物理安全
网络安全
技
术
主机系统安全
要
求
应用安全
数据安全
综合测评
信息 系统
安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理
管 理 要 求
20
(二)等保测评过程和内容:项目测评手段
6个关键因素, 逐步深化
4
等级保护测 评安全整改
建议
信息安全等级保护工作方面的政策、制度文件
14
等保建设依据:实施过程与等级相关标准
行业定级指导
15
等级保护测评项目依据
1) 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008); 2) 《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448-2012); 3) 《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012); 4) 《信息技术 信息安全技术 信息安全管理体系要求》(ISO27001-2013); 5) 《计算机信息系统安全等级划分准则》(GB17859-1999)及其系列配套标准;
① 对标 ② 合规 ③ 差距 ④ 改进
16
等级保护测评的重要性
信息系统 定级
等级变更
总体安全 规划
新系统
信 息 系
安全设计 统 与实施 等
级 保 护 测 评
安全运行 与维护
信息系统 终止
旧系统
局部调整
信息系统等级保护测评
17
等保测评实施基本要点:3个要点循序渐进
等保测评实施基本要点
受测系统筛选
受测信息系统筛选方法 1
保测评。
4
2、行业开展等保测评工作与其他行业对比
电力 行业
金融 行业
医疗 行业
XX 行业
与电力 行业对 比比重
信息系统定级 信息系统测评 测评周期 专业测评团队 开展情况 测评完成程度
完成984套 信息系统
完成678套 信息系统
3级系统1年 4级系统半年
有
2011年开展
完成700套 信息系统
完成400多 套信息系统
制度分析
数据高可 用性测试
22
(二)等保测评过程和内容:项目配合人员及职责
在信息系统等级保护测评过程中需要 项目双方多人进行配合,需要相关管 理层的配合和影响; 而在测评过程中存在一定的风险,双 方协助配合很重要。
相关管理 层
等级保护测评 配合人员及职
责
信息系统 相关负责 人
信息系统 业务相关 负责人
团队; 信息系统测评
程度 存在不足
3、等级保护测评现状
已经开展
作为等级
过等级保
保护测评
护测评工
试点单位
作
等级保护
测评现状
受测系统 选择
等级保护测评试点单位 测评方法和结果确认; 推动行业等保测评工
作; 确定选择的受测系统
选定有一定代表意义的受测 系统,针对选定的系统进行 严格的等保测评 选择三级以上信息系统; 业务层面代表性的系统; 技术层面代表性的系统;
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006); 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006); 《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006); 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006); 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2006)。
• 具备权威性的测评报告
测评报告 • 有测评资质的机构
• 有成熟案例的机构
整改建议
• 安全整改可落地性和可操作性 • 沟通协商一致
11
主题3
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
12
内容设置
1
信息安全等 级保护政策
和依据
3
等级保护测 评实施过程
和内容
2
等级保护测 评方法论
5、等级测评结论形成
• 统计再次汇总后的单项测 评结果为部分符合和不符 合项的项数;
• 形成等级测评结论。
4、风险分析
• 整体测评后的单项测评结 果再次汇总;
• 分析部分符合或不符合项 所产生的安全问题被威胁 利用的可能性;
• 分析威胁利用安全问题的
可能性。
29
(三)安全改进建议:确定整改期限和责任部门(岗位)
受测系统测评
等级保护测评过程 等级保护测评内容
循序
渐进
2
的过
程
受测系统整改
安全整改建议 安全整改措施
3
18
(一)筛选系统方法:根据受测信息系统特点
办公系统
比较重要,系统定为3级
受测系统的重要性
电子商务系统
比较重要,系统定为3级
业务量较多
业务量
业务量较多
未接入互联网,内部使用 用户较多
实时性较一般
接入互联网 用户规模 实时性
2、单元测评结果确定
• 汇总每个测评对象在每个 测评单元的单项测评结果;
• 判断每个测评对象的单元 测评结果。
3、整体测评
• 分析不符合和部分符合的 测评项与其他测评项(包 括单元内、层面间、区域 间)之间的关联关系及对 结果的影响情况。
6、测评报告编制
• 概述测评项目情况; • 描述被测系统情况; • 描述测评范围和方法; • 描述整体测评情况; • 汇总测评结果。
3、结果确认和资料归还
• 召开现场测评结束会;
• 测评委托单位确定测 评过程中获取的证据 和资料的正确性,并 签字认可;
• 测评人员归还借阅的 测评资料。
28
(二)等保测评过程和内容:报告编制阶段
1、单项测评结果确认
• 分析测评项所对抗威胁的 存在情况;
• 分析单个测评项所对应的 多个测评结果的符合情况。
9
项目目标
安全现状 安全差距
通过等保测评,了解安全现状,包括技术和 管理两个方面
通过对标明确与国家等保要求间的差距和风 险,以及安全改进方向
安全整改
提出整改建议,确保整改后的安全满足等保 要求
建立等级保护测评队伍、培养人才
10
测评实施
测评方法
来自百度文库
• 成熟的测评方法 • 符合相关需求的测评方法
测评 实施
② 政策要求(运营、使用 单位或主管部门选择符 合要求的测评机构进行 等保测评)
③ 标准要求
背景相关内容 3
企业层面
① 已开展的等保测评工作; ② 未开展等保测评现状; ③ 建议等保测评系统;
3
1、国家政策和行业要求
国家 层面
2007年公安部会同国家保密局、国家密码管理局和 国务院信息化工作办公室下发《信息安全等级保护管理 办法》(公通字[2007]43号);
• 选择对应等级的ASG三类 安全要求作为测评指标。
3、测评工具接入的 确定
• 确定工具测试的测 评对象;
• 限制测试路径。
4、测评内容确定
• 识别每个测评对象 对应的测评指标。
5、测评指导书开发
• 从已有的测评指导 书中选择与测评对 象对应的手册。
6、测评方案编制
• 描述测评项目基本 情况和工作依据。
27
(二)等保测评过程和内容:现场测评阶段
1、现场测评准备
• 召开现场测评启动会;
• 双方确定测评方案;
• 双方确定测评人员、 环境等资源;
• 确定信息系统已经备 份。
2、现场测评和结果记录
• 依据测评指导书实施 测评;
• 记录测评获取的证据、 资料等信息;
• 汇总测评记录,如果 需要,实施补充测评。
评 评价:安全测评评
价、符合性评价
测
技术测试:主机、网络/安全设
查
备漏洞扫描等
查看配置:主机、网络/安全设备、数据库安
观
全配置检查
现场观察:物理环境观察、逻辑结构和物理部署的对比观察
审
查看资料:管理制度和策略的详细分析、管理制度和策略对标分析等
问
调研访谈:业务访谈、资产访谈与确认、安全技术访谈、安全管理访谈等