等级保护三级管理类测评
三级等保评测文件资料
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表... ...1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
等级保护2.0第三级终端安全终端安全管理系统类安全防护产品
等级保护2.0第三级终端安全终端安全管理系统类安全防护产品功
能指标参考
1、桌面终端安全管理(至少具备5 项功能、支持3 种连接方式管理)
用于满足终端各种安全管理和合规性需求的终端安全管理软件。
①具备即时通讯管理、非授权外连管理、软件分发、打印管理、
文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、
上网行为控制与审计、敏感字审计、远程协助等11 项功能。
②支持对双网卡、WIFI、3G、蓝牙、红外等5 种违规连接
方式进行监测、审计和阻断。
2、移动终端安全管理(至少具备4 项功能、支持2 种操作系统类型)
支持组织内部移动业务终端安全防护的管理系统。
①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5 项功能。
②支持主流移动操作系统。
3、移动存储介质管理(至少具备4 项功能、支持4 种存储介质管理、支持3 种管理规则、支持4 种管理策略)
解决组织内部移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。
①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4 项功能。
②支持移动硬盘、闪存、U 盘、储存卡等4 种移动存储介质的管理。
③支持预置策略、自定义策略、预置标签及自定义
标签等4 种管理规则。
④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6 种预置管理策略和预置标签管理策略。
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评-完全过程(非常全面)
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等级保护测评考试真题汇总简答题部分)
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
等级保护、风险评估和安全测评三者的区别
等级保护、风险评估和安全测评三者的区别⽂章来源|等级保护测评师等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,⼀起搞清楚他们之间的关系三者的基本概念和⼯作背景A. 等级保护基本概念:信息安全等级保护是指对国家秘密信息、法⼈和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实⾏安全保护,对信息系统中使⽤的安全产品实⾏按等级管理,对信息系统中发⽣的信息安全事件等等级响应、处置。
这⾥所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照⼀定的应⽤⽬标和规则对信息进⾏存储、传输、处理的系统或者⽹络;信息是指在信息系统中存储、传输、处理的数字化信息。
⼯作背景:1994年×××颁布的《×××计算机信息系统安全保护条例》2规定:计算机信息系统实⾏安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能⼒的五个等级,即:第⼀级:⽤户⾃主保护级;第⼆级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是⼀种技术的分级,即对系统客观上具备的安全保护技术能⼒等级的划分。
2002年7⽉18⽇,公安部在GB17859的基础上,⼜发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护⽹络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通⽤技术要求》、GA391-2002 《计算机信息系统安全等级保护管理要求》。
三级等保测评具体标准
三级等保测评具体标准
三级等保测评的具体标准包括以下几个方面:
1. 安全物理环境:包括机房和场地的选择、建筑安全、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电等方面。
2. 安全通信网络:包括网络架构、通信传输、可信设备、边界安全防护等方面。
3. 安全区域边界:包括区域隔离和访问控制、入侵防范、恶意代码和垃圾邮件防范等方面。
4. 安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等方面。
5. 安全管理中心:包括安全集中管理、安全审计管理、配置管理等方面。
此外,三级等保测评还要求建立完善的安全管理制度,包括安全事件处置、应急预案、安全审计等。
同时,应配备足够的安全管理专业人员,负责网络安全管理、安全监测、安全审计等工作。
以上信息仅供参考,如需获取更多详细信息,建议咨询网络安全专业人士。
等级保护测评考试真题汇总(简答题部分)
等级保护测评考试(简答题部分)应用:1、基本要求中,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
2、在应用安全测评中,如何理解安全审计的“a)应该覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计”?主机:1、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?(10分)答:至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
2、主机常见评测的问题?答:①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
7缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
3、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。
测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。
对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?答:①巨型、大型、中型、小型、微型计算机和单片机。
等级保护三级安全运维管理对象选择及实施要点
机房安全责任人值班记录文档,机房配电设施、空调设施、测温设施、消防设施,包含对配电、空调、温湿度控制、消防设备的设计/验收文档,维护管理记录文档。
1)应核查机房是否指定了专门的部门或者人员负责机房的安全,包含部门和人员岗位职责记录文档;2)应核查机房是否对出入管理人员进行了登记记录,需重点核查机房人员出入管理登记文档中的人员出入时间,时长,活动范围等;3)应核查机房的供配电设备、空调设备、温湿度控制设备、消防设备是否能够正常运行,是否存在个别损坏设备,针对长期运行的设备是否按时进行维护管理工作,特别是对各个设备维护记录文档的核查,应该包含维护日期、维护人、维护设备、维护原因和维护结果等。
机房安全管理制度,包含物理访问管理制度、物品进出管理制度、环境安全管理制度。
1)应核查机房是否制定了完善详细的安全管理制度,重点核查该机房安全管理制度审批文档;2)应核查机房安全管理制度是否做了详细的领域划分,主要应包含出入人员对机房的物理访问情况的记录文档、机房内物品进出时的登记文档以及审批记录、机房环境安全上是否有详细的措施,比如机房防静电措施等。
不同办公区域重要等级划分设计/验收文档,办公环境安全管理制度。
1)应核查安全管理制度是否包含办公环境相关说明;2)应核查制度中是否根据重要程度明确的划分了不同的办公区域;3)应核查安全管理制度文档中对诸如敏感信息纸质文档、挪移介质的管理条例,具体的如日常办公敏感信息纸质文档等是否采取了有效的保护措施,日常涉及工作的公用/私用挪移介质是否完好的收藏,并核查是否派专人对其管理。
安全运维资产管理清单,包含各级资产责任部门划分文档、资产责任部门的重要程度记录文档和资产部门所处位置的记录文档等。
1)应核查资产清单中是否包含设备资产、软件资产、各种文档资产等;2)应核查具体资产责任部门,该责任部门的重要程度审批文档和所处位置审批文档。
资产管理员,资产分类标识,资产管理措施管理制度类文档和设备包含资产入库、维修、出库等相关的资产记录单,信息资产管理制度等。
信息安全等级测评师模拟测试(1)-管理初级
一、单选题(20分)1、《基本要求》中管理要求中,下面那一个不是其中的内容?()A、安全管理机构。
B、安全管理制度。
C、人员安全管理。
D、病毒安全管理。
2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求?()A、一级。
B、二级。
C、三级。
D、四级。
3、三级系统基本要求中管理要求控制类共有()项?A、32。
B、36。
C、37。
D、38。
4、《测评要求》和哪一个文件是对用户系统测评的依据?A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
这应当属于等级保护的什么级别?()A、强制保护级。
B、监督保护级。
C、指导保护级。
D、自主保护级。
7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重要内容?A、安全定级。
B、安全评估。
C、安全规划。
D、安全实施。
8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、第三方人员访问管理5各方面。
A、人员教育。
B、人员裁减。
C、人员考核。
D、人员审核。
9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作?A、公安机关。
等保测评三级系统整改示例讲课讲稿
等级保护--十大核心标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
三级系统整改 示例
等级保护--世博信息安全保障
世博前后的等保目标
杜绝由信息安全造成的群体事件 关键信息系统不能中断 防止办公系统信息泄露等负面事件
世博前后的等保对策
常态化的信息安全保障,提高自身免疫能力 规定动作结合自选动作,全面进行整改加固和应急演练 技术要在服务上深化,管理要在细节上落实 建立全市层面的专家团队及技术保障队伍
应用安全的整改要点
身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性
软件容错
基本的身份鉴别 安全策略
最小授权原则 运行情况审计(用户级)
审计记录的保护
校验码技术 初始化验证 敏感信息加密
数据有效性检验、部分运行保护
组合鉴别技术 敏感标记的设置及操作
审计报表
审计过程的保护
空间释放及信息清除
指标类
类数量
S类 (3级)
A类 (3级)
G类 (3级)
1
1
8
1
0
6
3
1
3
5
2
2
2
1
0
N/A
合计
项数量
小计
小计
10
32
7
33
7
32
9
31
3
8
3
等级保护三级管理测评
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
应建外联单位联系表,包括外联单位名称、合作内容、联系人和联系方式等信息。
应聘请信息安全专家作为常的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查
安全管员应负责定期进安全检查,检查内容包括系统日常运、系统和数据备份等情况。
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
应根据数据备份的需要对某些介质实异地存储,存储地的环境要求和管方法应与本地相同。
应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程对介质进分类和标识管。
设备
应对信息系统相关的各种设备(包括备份和冗余设备)、线等指定专门的部门或人员定期进维护管
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
系统安全
应根据业务需求和系统安全分析确定系统的访问控制策。
访谈,检查。
安全管员,系统管员,系统操作手册,系统安全管制,详细操作日志,系统审计分析记录,系统扫"描报告。
应定期进扫描,对发现的系统安全及时进
修补。
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进备份后,方可实施系统补丁程序的安装。
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
审批部门和审批人等信息。
应记录审批过程并保存审批文档。
等级保护三级技术类测评控制点(空表)
测评要求(S3A3G3)1机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2)访谈,检查。
2机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理安全负责人,机房,办公场地,机房场地设计/验收文档。
3机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2)访谈,检查。
4需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)物理安全负责人,机房值守 人员,机房,机房安全管理制度,值守记录,进入机房的 登记记录,来访人员进入机房的审批记录。
5应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3)7应将主要设备放置在机房内。
(G2)访谈,检查。
8应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信 线路布线文档,报警设施的安装测试/验收报告。
9应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2)10应对介质分类标识,存储在介质库或档案室中。
(G2)11应利用光、电等技术设置机房防盗报警系统。
(G3)等级保护三级技术类测评控制点(S3A3G3)类别序号测 评 内 容测评方法物理位置的选择物理访问控制防盗窃和防破坏12应对机房设置监控报警系统。
(G3)13机房建筑应设置避雷装置。
(G2)访谈,检查。
14应设置防雷保安器,防止感应雷。
(G3)物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设 计/验收文档。
15机房应设置交流电源地线。
(G2)16机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
(G3)访谈,检查。
17机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
(G3)物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收 文档,火灾自动报警系统设计/验收文档。
(网络安全法)信息系统安全等级保护测评表单-三级技术类
信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内;检查主要设备或设备的主要部件的固定情况,查看其是否不易被移动
c) 应访谈资产管理员,介质是否进行了分类标识管理,介质是否存放在介象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、
渗透和返潮现象,则查看是否能够及时修复解决;
7.1.1物理安全
潮
护措施;b) 应检查机房设备外壳是否有安全接地;
电磁防护7.1.1.6。
等级保护三级安全管理人员对象选择及实施要点
安全管理人员1 人员录用1.1 应指定或授权专门的部门或人员负责人员录用1.1.1对象选择被测单位信息/网络安全主管,以及人员录用的制度类文档和记录表单类文档。
1.1.2实施要点1)应访谈被测单位信息/网络安全主管,了解部门人员招聘、录用的流程。
为保证人员录用过程的规范,应明确专门的部门或人员负责。
2)应核查人员录用相关制度类文档,是否明确体现人员录用过程的相关人员职责,以及录用的流程等内容。
3)应核查在岗信息/网络安全部门员工合同,以及招聘、录用的相关材料,无论是长期聘用的员工还是合同员工、临时员工。
4)员工的聘用合同中,是否明确说明员工在网络安全方面应遵守的规定和应承担的安全责任,并在员工的聘用期内实施监督机制。
1.2 应对被录用人员的身份,安全背景,专业资格或资质等进行审查,对其所具有的技术技能进行考核1.2.1对象选择被测单位信息/网络安全主管,负责人力资源管理相关人员,以及人员录用的制度类文档和记录表单类文档。
1.2.2实施要点1)应核查人员录用相关制度类文档,是否明确体现人员录用身份、安全背景、专业资格或资质审查的要求;2)应核查人员录用时对录用人身份、背景、专业资格和审查的相关记录表单类文档。
3)应核查人员录用时的技能考核文档或记录,考核是否形成记录并保留。
1.3 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议1.3.1对象选择被测单位人员招聘、录用工作的负责人,人员录用的制度类文档和记录表单类文档。
1.3.2实施要点1)应访谈被测单位人员招聘、录用工作负责人,了解人员招聘和录用的流程。
2)应检查人员招聘、录用相关制度类文档,是否明确体现人员在录用前与组织签署保密协议、关键岗位人员签署岗位责任协议等安全要求。
3)应抽查被测单位录用人员的保密协议,是否明确体现员工的保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。
4)抽查关键岗位(如部门负责人、系统管理员或数据库管理员等涉及组织重要敏感信息的岗位)安全协议,关键岗位安全协议是否明确体现该岗位的安全职责、协议有效期限和责任人签字等内容。
等级保护三级技术类测评控制点全解
机房场地应避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁。(G3)
物理访问控制
3.
机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2)
访谈, 检查。
物理安全负责人, 机房值守 人员, 机房, 机房安全管理制度, 值守记录, 进入机房的 登记记录, 来访人员进入机房的审批记录。
49.
审计记录应包括: 事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(G2)
50.
应能够根据记录数据进行分析, 并生成审计报表。(G3)
51.
应对审计记录进行保护, 避免受到未预期的删除、修改或覆盖等。(G3)
边界完整性检查
52.
应能够对非授权设备私自联到内部网络的行为进行检查, 准确定出位置, 并对其进行有效阻断。(G3)
70.
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(G2)
71.
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。(G3)
访问控制
72.
应启用访问控制功能,依据安全策略控制用户对资源的访问。(G2)
访谈, 检查。
服务器操作系统、数据库, 服务器操作系统文档, 数据库管理系统文档。
20.
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。(G2)
21.
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。(G2)
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。(G3)
防静电
23.
主要设备应采用必要的接地防静电措施。(G2)
访谈, 检查。
物理安全负责人, 机房维护人员, 机房设施, 防静电设计/验收文档。
等级测评实施方案(三级)
.1测评方案1.1测评流程依据《GBT 28448-2012信息安全技术信息系统安全等级保护测评要求》,我们以《信息安全技术信息系统安全等级保护测评过程指南》(GBT28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2测评力度1.3测评对象我们一般的测评对象包括:整体对象,如机房、办公环境、网络等,也包括具体对象,如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。
但此次测评为云环境下的测评,由于机房和网络环境的安全责任不归属该单位,故此次测评对象为:主机、应用系统和安全管理制度三个层面相关的对象。
在具体测评对象选择工作过程中,遵循以下原则:完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;重要性原则,应抽查重要的服务器、数据库和网络设备等;安全性原则,应抽查对外暴露的网络边界;共享性原则,应抽查共享设备和数据交换平台/设备;代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。
1.4测评依据信息安全测评与其他测评一样,是依据相关的需求、设计、标准和规范,对待测对象进行测试、评估(评价),因此有必要梳理出测评对象、以及采用的标准规范。
测评使用的主要指标依据如下:系统定级使用的主要指标依据有:《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)等级保护测评使用的主要指标依据有:《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息安全技术信息系统安全等级保护测评要求》(GBT 28448-2012) 《信息安全技术信息系统安全等级保护测评过程指南》(GBT 28449-2012)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)现状测评使用的主要指标依据有:制度检查:以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求,检查是否具有相应的制度、记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应定期对各个岗位的人员进行安全技能及安全认知的考核。
访谈。安全主管,人事工作人员。
应对关键岗位的人员进行全面、严格的安全审查和技能考核。
应对考核结果进行记录并保存。
安全意识教育和培训
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
访谈,检查。安全主管,安全员,系统管理员,网络管理员,培训计划,培训记录.
应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
人员录用
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议。
应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
应配备专职安全管理员,不可兼任。
应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
应对安全教育和培训的情况和结果进行记录并归档保存。
外部人员访问管理
应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。
关键事务岗位应配备多人共同管理。
授权和审批
应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
访谈,检查。安全主管,关键活动的批准人,审批事项列表,审批文档。
应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
应签署保密协议。
应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
人员离岗
应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。
访谈,检查。安全主管,人事工作人员,安全处理记录,保密承诺文档。
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
资产管理
应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
管理制度
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政策性文件和安全策略文件,安全管理制度清单,操作规程。
访谈,检查。安全主管,安全管理人员,安全责任合同书或保密协议,第三方人员访问管理文档,登记记录。
对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
环境理
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
访谈,检查。物理安全负责人,机房安全管理制度,机房进出登记表。
应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理。
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
安全管理制度应具有统一的格式,并进行版本控制。
应组织相关人员对制定的安全管理制度进行论证和审定。
安全管理制度应通过正式、有效的方式发布。
安全管理制度应注明发布范围,并对收发文进行登记。
评审和修订
信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。安全主管,安全管理制度列表,评审记录。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
应对安全管理活动中的各类管理内容建立安全管理制度。
应对要求管理人员或操作人员执行的日常管理操作建立操作规程。
应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
制定和发布
应指定或授权专门的部门或人员负责安全管理制度的制定。
访谈,检查。安全主管,制度制定和发布要求管理文档,评审记录,安全管理制度。
应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全检查记录。
应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
应记录审批过程并保存审批文档。
沟通和合作
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
访谈,检查。安全主管,安全管理人员,会议文件,会议记录,外联单位说明文档。
`
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。