信息系统安全测评文档准备指南
信息安全等级保护测评指南
信息安全等级保护测评指南信息安全等级保护测评是指对信息系统安全等级保护的实施情况进行评估和测试的过程,旨在评估信息系统的安全保护能力,检测信息系统存在的安全隐患,并提出相应的整改建议。
下面是一个信息安全等级保护测评指南,以帮助组织进行有效的测评。
一、测评准备1.明确测评目标和范围:确定测评的具体目标,包括测评的等级保护要求和测评的范围,确保测评的准确性和全面性。
2.组织测评团队:确定测评团队的成员和职责,包括测评组长、技术专家、安全管理人员等,确保测评工作的有效开展。
3.准备测评工具和方法:选择合适的测评工具和方法,包括测评软件、网络扫描工具、物理安全检测设备等,确保测评的可靠性和准确性。
二、测评步骤1.收集信息:收集和了解被测评系统的相关信息,包括系统架构、网络拓扑、数据流程等,以便进行后续的测评工作。
2.风险评估:对系统可能面临的安全风险进行评估和分类,包括内部威胁、外部攻击等,以确定测评的重点和方向。
3.安全策略评估:评估被测评系统的安全策略和安全控制措施的有效性和合规性,包括访问控制、身份认证、加密算法等。
4.物理安全测评:对被测评系统的物理环境进行检测和评估,包括机房的物理访问控制、机柜安装的安全性等,以保证系统的物理安全。
5.网络安全测评:对被测评系统的网络环境进行检测和评估,包括网络设备的配置、网络服务的安全性等,以保证系统的网络安全。
6.系统安全测评:对被测评系统的操作系统和应用软件进行检测和评估,包括漏洞扫描、系统配置审计等,使用合适的工具和方法进行。
7.数据安全测评:对被测评系统的数据存储和传输进行检测和评估,包括数据备份和恢复、数据加密等,以保证系统的数据安全。
8.报告编写:根据测评的结果和发现,编写详细的测评报告,包括测评的过程、发现的问题、风险评估和整改建议等,以提供给被测评方参考。
三、测评注意事项1.保护被测评系统的安全:在进行测评的过程中,要确保不会对被测评系统造成破坏或干扰,要尽可能减少对正常业务的影响。
信息系统等级保护(2.0)测评工作方案
信息系统等级保护(2.0)测评工作方案-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN信息系统等级保护测评工作方案目录信息系统等级保护测评工作方案...................................................... 错误!未定义书签。
目录.................................................................................................... 错误!未定义书签。
1.项目概述 ...................................................................................... 错误!未定义书签。
.项目背景 ...................................................................... 错误!未定义书签。
.项目目标 ...................................................................... 错误!未定义书签。
.项目原则 ...................................................................... 错误!未定义书签。
.项目依据 ...................................................................... 错误!未定义书签。
2.测评实施内容 .............................................................................. 错误!未定义书签。
.测评分析 ...................................................................... 错误!未定义书签。
信息系统等级测评文档准备指引
信息系统等级测评文档准备指南电力行业等级保护测评中心华电卓识实验室2009年9月目录一、文档提交要求 (3)二、准备文档时需注意的问题 (3)附件一信息系统基本情况调查表 (5)表1-1. 单位基本情况 (7)表1-2. 参与人员名单 (8)表1-3. 物理环境情况 (9)表1-4. 信息系统基本情况 (10)表1-5. 信息系统承载业务(服务)情况 (11)表1-6. 信息系统网络结构(环境)情况 (12)表1-7. 外联线路及设备端口(网络边界)情况调查 (13)表1-8. 网络设备情况 (14)表1-9. 安全设备情况 (15)表1-10. 服务器设备情况 (16)表1-11. 终端设备情况 (17)表1-12. 系统软件情况 (18)表1-13. 应用系统软件情况 (19)表1-14. 业务数据情况 (20)表1-15. 数据备份情况 (21)表1-16. 应用系统软件处理流程(多表) (22)表1-17. 业务数据流程(多表) (23)表1-18. 安全威胁情况 (24)附件二信息系统安全技术方案 (26)附件三信息安全管理制度 (27)表3-1. 安全管理机构类文档 (27)表3-2. 安全管理制度类文档 (28)表3-3. 人员安全管理类文档 (29)表3-4. 系统建设管理类文档 (30)表3-5. 系统运维管理类文档 (32)一、文档提交要求当委托机构正式委托电力行业等级保护测评中心华电卓识实验室对其信息系统实施等级测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。
委托测评类型主要包括:●等级符合性检验●风险评估●渗透测试●方案咨询需准备的测评文档主要包括:●《信息系统基本情况调查表》●《信息系统安全技术方案》●《信息安全管理制度》●《其他》委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文档。
二者对应关系如下:二、准备文档时需注意的问题●保证提交文档内容真实、全面、详细、准确●文档材料,纸版和电子版文档均可●提交文档时做好详细的文档交接记录附件一信息系统基本情况调查表1、请提供信息系统的最新网络结构图(拓扑图)网络结构图要求:●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出服务器设备的IP地址●应该标识网络区域划分等情况●应该标识网络与外部的连接等情况●应该能够对照网络结构图说明所有业务流程和系统组成如果一张图无法表示,可以将核心部分和接入部分分别划出,或以多张图表示。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分,对于信息系统的安全等级保护测评要求也变得愈发重要。
信息系统安全等级保护测评是指为了评估信息系统的安全性,保障信息系统的功能和安全性,根据《信息安全技术信息系统安全等级保护测评要求》,对信息系统进行等级保护测评,明确信息系统安全等级。
二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》,信息系统安全等级分为四个等级,分别是一级、二级、三级和四级。
每个等级都有相应的技术和管理要求,以及安全保护的措施。
在信息系统安全等级保护测评中,根据信息系统的安全等级,采用不同的测评方法和技术手段,对信息系统进行全面的评估和测试。
三、技术要求在信息系统安全等级保护测评中,技术要求是至关重要的一环。
根据《信息安全技术信息系统安全等级保护测评要求》,信息系统的技术要求包括但不限于以下几个方面:1. 安全功能要求信息系统在进行测评时,需要满足一定的安全功能要求。
对于不同等级的信息系统,需要有相应的访问控制、身份认证、加密通信等安全功能,以确保系统的安全性。
2. 安全性能要求信息系统的安全性能也是非常重要的。
在信息系统安全等级保护测评中,需要对系统的安全性能进行评估,包括系统的稳定性、可靠性、容错性等方面。
3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。
通过鉴别技术对信息系统进行鉴别,以确定系统的真实性和完整性,防止系统被篡改和伪造。
4. 安全风险评估要求在信息系统安全等级保护测评中,需要进行全面的安全风险评估,包括对系统可能存在的安全威胁和漏洞进行评估,以及制定相应的安全保护措施和应急预案。
四、管理要求除了技术要求之外,信息系统安全等级保护测评还需要满足一定的管理要求。
管理要求主要包括以下几个方面:1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系,包括安全管理策略、安全管理制度、安全管理流程等,以确保信息系统的安全性。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:-—GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求;——GB/TCCCC—CCCC信息安全技术信息系统安全等级保护实施指南;——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号)3术语和定义GB/T5271.8、GB17859—1999、GB/TCCCC—CCCC和GB/TDDDD—DDDD确立的以及下列的术语和定义适用于本标准。
信息系统安全等级保护测评要求
GB/T XXX--200XICS 35.040L80信息安全技术信息系统安全等级保护测评要求Information security technology- Testing and evaluation requirement for classified protection of information system 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T XXXX –XXXX目次前言 ........................................................................................................................................... ........................... III 引言 ........................................................................................................................................... ........................... I V 1范围. (12规范性引用文件 (13术语和定义 (14总则 (14.1测评原则 (14.2测评内容 (14.3测评力度 (24.4结果重用 (24.5使用方法 (25第一级信息系统单元测评 (35.1安全技术测评 (35.1.1物理安全 (35.1.2网络安全 (55.1.3主机安全 (65.1.4应用安全 (75.1.5数据安全及备份恢复 (85.2安全管理测评 (95.2.1安全管理制度 (95.2.2安全管理机构 (95.2.3人员安全管理 (105.2.4系统建设管理 (125.2.5系统运维管理 (146第二级信息系统单元测评 (17 6.1安全技术测评 (176.1.1物理安全 (176.1.2网络安全 (206.1.3主机安全 (226.1.4应用安全 (246.1.5数据安全及备份恢复 (27 6.2安全管理测评 (286.2.1安全管理制度 (286.2.2安全管理机构 (296.2.3人员安全管理 (306.2.4系统建设管理 (326.2.5系统运维管理 (35IGB/T XXXX –XXXX7第三级信息系统单元测评 (39 7.1安全技术测评 (397.1.1物理安全 (397.1.2网络安全 (447.1.3主机安全 (477.1.4应用安全 (497.1.5数据安全及备份恢复 (53 7.2安全管理测评 (557.2.1安全管理制度 (557.2.2安全管理机构 (567.2.3人员安全管理 (597.2.4系统建设管理 (617.2.5系统运维管理 (658第四级信息系统单元测评 (71 8.1安全技术测评 (718.1.1物理安全 (718.1.2网络安全 (768.1.3主机安全 (798.1.4应用安全 (828.1.5数据安全及备份恢复 (878.2安全管理测评 (898.2.1安全管理制度 (898.2.2安全管理机构 (908.2.3人员安全管理 (938.2.4系统建设管理 (958.2.5系统运维管理 (999第五级信息系统单元测评 (106 10信息系统整体测评 (10610.1概述 (10610.2安全控制点间测评 (10610.3层面间测评 (10610.4区域间测评 (10710.5系统结构安全测评 (10711等级测评结论 (10711.1各层面的测评结论 (10711.2整体保护能力的测评结论 (107 附录A(资料性附录测评力度 (109 A.1测评方法的测评力度描述 (109A.2信息系统测评力度 (109IIGB/T XXXX –XXXX前言(略III引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号和《信息安全等级保护管理办法》(公通字[2007]43号等有关文件要求,制定本标准。
金融行业信息系统信息安全等级保护测评指南
与实施指引的关系
《测评指南》阐述了《实施指引》中各要求项的具体测评方法、步骤和判断依据 等,用来评定信息系统的安全保护措施是否符合《实施指引》。 《测评指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等, 规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提 出了指导建议。 二者共同指导等级测评工作。
中间件平台,如Weblogic / Websphere等。
二、等级测评方法及内容介绍—等级测评内容
单元测评——管理
测评对象
人员
安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等
文档
管理文档(策略、制度、规程) 记录类(会议记录、运维记录) 其它类(机房验收证明等)
一、测评指南整体介绍
等级测评与其他测评的不同
目的不同:标准符合性测评
性质不同:《管理办法》强制周期性执行 执行对象不同:已经确定等级的信息系统
内容不同:依据《基本要求》和《测评要求》
结果不同:符合、基本符合、不符合。
测评指南知识要点
一、测评指南整体介绍 二、等级测评方法及内容介绍
是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生 特定的结果,将运行结果与预期的结果进行比对的过程。
二、等级测评方法及内容介绍—等级测评方法
ቤተ መጻሕፍቲ ባይዱ访谈
对象 适用情况 作用
对技术要求,使用‘访谈’ 方法迚行测评的目的是为了了 访谈的对象是人 解信息系统的全局性(包括局 员。典型的访谈 部,但不是细节)、方向/策略 人员包括:信息 性和过程性信息,一般不涉及 安全主管、信息 到具体的实现细节和具体技术 系统安全管理员、措施,在遇到优势证据时,最 系统管理员、网 弱。 络管理员、资产 对管理要求,访谈的内容应 管理员等。 该较为详细和明确。
信息系统安全测评教程
1.2 相关概念
1.2.3信息系统安全保障
1、信息安全保障技术框架
1.2 相关概念
2、信息系统安全保障模型 信息系统安全保障定义为:在 信息系统的整个生命周期中, 从技术、管理、工程和人员等 方面提出安全保障要求,确保 信息系统的保密性、完整性和 可用性,降低安全风险到可接 受的程度,从而保障 系统实现 组织机构的使命。
第一章
信息系统安全测评概述
主要内容
1.1 信息系统安全发展历程 1.2相关概念 1.3 信息系统安全测评作用 1.4 信息安全标准组织 1.5 国外重要信息安全测评标准 1.6 我国信息安全测评标准 1.7 信息系统安全等级保护工作 1.8 信息系统安全测评的理论问题
1.1 信息安全发展历程
阶段
21世纪
涉及计算机、网络、云环境、工控系统等 多层次多维度安全问题,具有整体性;安 全问题的动态性和高复杂性;安全问题具 有共通性、国际化的趋势。
我国GB/T 18336-2001《信息技术安 全性评估准则》及等级保护系列标准
1.2 相关概念
1.2.1信息系统安全
1、信息系统:信息系统不仅仅描述的是计算机软硬 件,网络和通信设备,更是人和管理制度等的综合。
1.4 信息安全标准组织
2、ISO/IEC JTC1 SC27
国际电工委员会IEC(International Electrotechnical Commission) 该组 织成立于1906年。 在ISO/IEC JTC1 SC27是联合技术委员会下专门从事信息安全标准化的 分技术委员会,其前身是数据加密分技术委员会(SC20)。主要从 事信息技术安全的一般方法和技术的标准化工作,是信息安全领域 中最具代表性的国际标准化组织。 SC27下设信息安全管理体系工作组WG1、密码与安全机制工作组 WG2、安全评估准则工作组WG3、安全控制与服务工作组WG4和身 份管理与隐私技术工作组WG5。 ISO/IEC 15408《信息技术 信息安全-IT安全的评估准则》就是该联合 技术委员会制定的。
《信息系统安全等级保护等保测评安全管理测评》PPT
1序、号 背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级 备案、方案设计、产品采购使用、软件开发、 工程实施、验收交付、等级测评、安全服务等 内容的管理责任部门、具体管理内容和控制方 法,并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点 岗位设置 人员配备 授权和审批
沟通和合作
审核和检查 合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略,制定安 全管理制度。确定安全管理目标和安全策略, 针对信息系统的各类管理活动,制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管 系统建设负责人 人事负责人 系统运维负责人 物理安全负责人 系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等
信息安全管理(第五章 信息系统安全测评)
信息系统安全等级测评要求
LOGO
测评对象是指测评实施的对象,即测评过程中 涉及到的制度文档、各类设备及其安全配置和 相关人员等。 测评方法包括: ①访谈 ②检查 ③测试
信息系统安全等级测评要求
等级测评内容
LOGO
等级测评的实施过程由单元测评和整体测评两 部分构成。 单元测评满足概念性框架的三部分内容:测评 输入、测评过程和测评输出。 整体测评主要包括安全控制点间、层面间和区 域间安全测评
3现场测评活动的输出文档任务输出文档文档内容现场测评准备会议记录确认的测评授权书更新后的测评计划和测评程序工作计划和内容安排双发人员的协调测评委托单位应提供的配合访谈技术安全和管理安全测评的测评结果记录或录音访谈记录文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的记录配置检查技术安全测评的网络主机应用测评结果记录检查内容的记录工具测试技术安全测评的网络主机应用测评结果记录工具测试完成后的电子输出记录备份的测试结果文件漏洞扫面渗透性测试性能测试入侵检测和协议分析等内容的技术测试结果实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的记录测评结果确认现场核查中发现的问题汇总证据和证据源记录测评委托单位的书面认可文件测评活动中发现的问题问题的证据和证据源每项检查活动中测评委托单位配合人员的书面认可logo信息安全等级测评
信息系统安全测评流程
信息系统安全测评包括:
LOGO
资料审查 核查测试 综合评估 测评流程如图5-2所示
被测用户提交测评申请以及相关材 料 测评机构对被测单位提供的资料进 行形式化审查
信息系统安全测评流程
LOGO
与被测单位协商,帮助用户完善 应提交的相关资料
向被测单位出具形式化审查报告
信息系统安全等级保护定级--备案--测评流程图
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息安全技术信息系统安全等级保护测评指南
信息安全技术信息系统安全等级保护测评指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全技术信息系统安全等级保护测评指南一、引言在当今信息化社会,信息系统的安全性日益受到重视。
信息系统安全等级保护定级--备案--测评流程
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统安全等级测评方案书
信息系统安全等级测评方案书目录一、概述 01、项目背景 02、项目实施的意义 (1)二、信息系统定级备案 (2)1、信息系统分析 (2)2、安全保护等级确定 (3)3、信息系统定级步骤及定级明细 (4)4、信息系统安全保护等级定级明细 (5)5、信息系统备案 (6)三、测评实施 (6)1、目标系统的测评范围 (6)2、项目输出 (6)3、测评依据 (7)4、系统网络拓扑图 (8)5、系统构成 (8)6、测评指标 (12)7、测评方法、工具、流程 (13)8、测评内容 (17)四、测评费用预估及所包含服务内容 (119)一、概述1、项目背景信息安全等级保护是党中央国务院决定在信息安全领域实施的基本国策,由公安部牵头经过十余年的探索和实践,信息安全等级保护的政策、标准体系已经基本形成。
在1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)第九条规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级的具体办法,由公安部会同有关部门制定。
2003年颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)中再次强调,信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的一项基本制度。
2011年12月6日发布的《省计算机信息系统安全保护办法》(省人民政府令第183号文件)第九条明确要求计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况进行测评。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院 号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发☯号)、《关于信息安全等级保护工作的实施意见》(公通字☯号)和《信息安全等级保护管理办法》(公通字☯号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:☝❆信息安全技术信息系统安全等级保护定级指南;☝❆信息安全技术信息系统安全等级保护基本要求;☝❆信息安全技术信息系统安全等级保护实施指南;☝❆信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件, 其最新版本适用于本标准。
☝❆信息技术词汇第 部分:安全☝计算机信息系统安全保护等级划分准则☝❆信息安全技术信息系统安全等级保护定级指南☝❆信息安全技术信息系统安全等级保护基本要求☝❆信息安全技术信息系统安全等级保护实施指南☝❆信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字☯号)术语和定义☝❆、☝、☝❆和☝❆确立的以及下列的术语和定义适用于本标准。
等级测评方案
信息系统安全等级保护评测方案测评对象:信息系统(三级)委托单位:测评单位: xx研究所前言近年来随着我国网络建设和信息化建设的高速发展,医疗、教育、政府机关等单位的业务与信息化的结合越来越紧密,便捷的信息化服务在提高工作效率和带来社会效益的同时,也给单位的信息安全和管理带来了严峻的挑战。
一方面,信息安全由于其专业性,目前信息安全管理人员无论在数量上的缺乏还是在技能上的不足都给整个安全管理带来了很大的难度;另一方面现在的网络攻击技术手段层出不穷、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给单位造成很大的威胁。
因此,提高信息安全集中监管的能力和技术水平,减少单位的运营风险已刻不容缓。
在此背景下,国家建立了信息系统安全等级保护制度。
信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。
为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》(国务院 147号令)、《信息安全等级保护管理办法》(公通字〔2007〕43号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件精神,提高医疗卫生行业信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进医疗卫生行业信息化建设的健康发展,广东省卫生厅在 2012年 1月印发了《关于全面开展全省卫生行业信息安全等级保护工作的通知》(粤卫办函〔2012〕2号),决定在医疗卫生行业全面开展信息系统安全等级保护工作。
我公司根据多年来对医疗卫生行业的信息化状况的了解,结合在安全行业和等级保护项目上的经验积累,为医疗卫生行业的网络安全等级保护提出了具有国内领先水平的等级保护建设方案和安全服务。
目录前言 (2)一、总体方案概述 (5)1.1项目目标 (5)1.2测评范围 (5)1.3测评原则 (5)1.4标准依据 (7)二、信息安全等级保护主要工作介绍 (9)2.1.信息系统定级 (10)2.2.信息系统备案 (10)2.3.等级保护差距测评 (11)2.4.整改辅助 (11)2.5 验收测评 (12)三、信息系统定级部分 (12)3.1业务信息安全保护等级的确定 (12)3.2系统服务安全保护等级的确定 (13)3.3安全保护等级的确定 (13)四、信息系统备案部分 (14)五、等级保护差距测评部分 (14)5.1工作流程 (14)5.2测评方法 (15)5.2.1单项测评 (15)5.2.2整体测评 (16)5.3测评工具 (20)5.4测评过程风险控制 (22)六、整改建议 (23)七、验收测评阶段 (24)附录测评内容 (26)技术控制测评 (26)管理控制测评 (48)一、总体方案概述1.1项目目标通过对**单位信息系统等级保护差距测评,可以了解目前**单位信息系统的等级保护差距情况,同时能够对未定级的业务系统及业务网络进行安全风险识别,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护差距测评和风险评估的结果指导**单位下一步等级保护工作的开展,确保有效保障网络安全稳定运行。
信息安全等级保护测评作业指导书(系统管理建设三级)
信息安全等级保护测评作业指导书系统建设管理(三级)修改页一、系统定级1.信息系统边界和安全保护等级2.信息系统定级方法和理由3.定级结果论证和审定4.定级结果经过相关部门批准二、安全方案设计1.选择基本安全措施及补充调整2.安全建设总体规划3.细化系统安全方案4.安全技术专家论证和审定5.安全方案调整和修订三、产品采购和使用1.安全产品采购和使用符合国家有关规定2.保密码产品采购和使用符合国家密码主管部门要求3.专门部门负责产品采购4.预先产品选型测试四、自行软件开发1.开发环境与实际运行环境物理分开,测试数据和测试结果受到控制2.软件开发管理制度3.代码编写安全规范4.软件设计相关文档和使用指南5.程序资源库修改、更新、发布进行授权和批准五、外包软件开发1.软件质量测试2.检测软件包恶意代码3.软件设计相关文档和使用指南4.软件源代码检查六、工程实施1.工程实施管理2.工程实施方案3.工程实施管理制度七、测试验收1.第三方安全性测试2.安全性测试验收报告3.书面规定测试验收的控制方法和人员行为准则4.系统测试验收授权及完成5.测试验收报告审定八、系统交付1.系统交付清单2.运行维护技术人员技能培训3.系统运行维护文档4.书面规定系统交付的控制方法和人员行为准则5.系统交付管理工作授权及完成九、系统备案1.系统定级材料管理2.系统主管部门备案3.备案材料报送相应公安机关备案十、等级测评1.每年一次等级测评及整改2.系统变更进行等级测评3.测评单位技术资质和安全资质4.授权专门部门或人员负责等级测评管理十一、安全服务商选择1.安全服务商选择合规2.安全服务商协议3.安全服务商服务合同。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全测评文档准备指南
委托单位(公章):
系统名称:
委托日期:
中国信息安全测评中心
一、文档提交要求
当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。
委托测评类型主要包括:
1.信息安全风险评估
2.信息系统安全等级保护测评
3.信息系统安全评估
4.远程渗透测试
5.系统安全技术监控
6.信息系统安全方案评审
需准备的测评文档主要包括:
1.《信息系统基本情况调查表》
2.《信息系统安全技术方案》
3.《信息安全管理组织架构》
4.《信息安全管理制度》
委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文档。
二者对应关系如下:
二、准备文档时需注意的问题
1.保证提交文档内容真实、全面、详细、准确。
2.将提交文档与《委托书》一并提交。
3.提交材料时,应提交纸版和电子版文档(光盘形式)各一份。
附件一
《信息安全管理组织机构》
至少包括下列内容:
1、科技部门整体组织架构
2、信息安全管理组织架构图。
3、IT运维部门设置、岗位设置及职责要求,以及人员与岗位的对应关系。
4、如果IT运维外包,请提供外包服务商承担的岗位、职责以及人员与岗位
的对应关系。
附件二
《信息安全管理制度》
至少包括下列内容:
1.文档制度体系结构说明及信息安全管理制度清单(如果有,请提前说明。
例如文档是按照ISO9000文档规范组织的)
2.机构总体安全方针和政策方面的管理制度
3.授权审批、审批流程等方面的管理制度
4.安全审核和安全检查方面的管理制度
5.管理制度、操作规程修订、维护方面的管理制度
6.人员录用、离岗、考核等方面的管理制度
7.人员安全教育和培训方面的管理制度
8.第三方人员访问控制方面的管理制度
9.工程实施过程管理方面的管理制度
10.产品选型、采购方面的管理制度
11.软件外包开发或自我开发方面的管理制度
12.测试、验收方面的管理制度
13.机房安全管理方面的管理制度
14.办公环境安全管理方面的管理制度
15.资产、设备、介质安全管理方面的管理制度
16.信息分类、标识、发布、使用方面的管理制度
17.配套设施、软硬件维护方面的管理制度
18.网络安全管理(网络配置、帐号管理等)方面的管理制度
19.系统安全管理(系统配置、帐号管理等)方面的管理制度
20.系统监控、风险评估、漏洞扫描方面的管理制度
21.病毒防范方面的管理制度
22.系统变更控制方面的管理制度
23.密码管理方面的管理制度
24.备份和恢复方面的管理制度
25.安全事件报告和处置方面的管理制度
26.系统应急预案
27.系统问题管理。
附件三
《信息系统安全技术方案》
至少包括下列内容:
1.信息系统建设的背景、目的
2.信息系统的主要业务功能、使用用户和业务信息流
3.信息系统的安全需求
4.信息系统安全功能设计
4.1描述应用软件的安全功能
一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。
4.2描述网络层采取的安全设置
一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等。
4.3描述系统层采取的安全设置
一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等。
4.4描述针对此系统的特殊安全控制措施
附件四
《信息系统基本情况调查表》见EXCEL表。