信息安全产品分级评估
信息安全标准的分级与分类
信息安全标准的分级与分类信息安全标准的分级与分类是指根据不同安全需求和安全等级的不同,对信息安全的标准进行层级划分和分类管理。
这种分类和分级可以帮助企业和组织在信息安全管理过程中更加系统化、规范化地进行。
下面将详细介绍信息安全标准的分级与分类内容。
1. 根据安全等级分类:(1)国家级安全标准:国家级安全标准是由国家安全管理机构制定和发布的,适用于国家级重要信息系统或者关键信息基础设施。
这些标准通常涉及国家安全、国家秘密和军事等方面的信息安全需求。
(2)行业级安全标准:行业级安全标准是由特定行业的管理机构或组织制定和发布的,适用于该行业特定的信息系统。
这些标准通常包括行业内共享的最佳实践和技术要求,旨在提高整个行业的信息安全水平。
(3)企业级安全标准:企业级安全标准是由企业自身制定和发布的,适用于企业内部的信息系统。
这些标准通常基于国家级和行业级标准,并结合企业自身的风险评估和安全需求,制定具体的信息安全政策、控制措施和操作规范。
2. 根据安全需求分类:(1)机密性标准:机密性标准主要关注信息的保密性,旨在防止未经授权的访问、使用和泄露敏感信息。
这些标准通常包括身份认证、访问控制、数据加密、安全审计等措施。
(2)完整性标准:完整性标准主要关注信息的完整性,旨在防止信息被未经授权的篡改或破坏。
这些标准通常包括数据备份与恢复、访问权限管理、防病毒和入侵检测等措施。
(3)可用性标准:可用性标准主要关注信息系统的可用性,旨在保证用户能够及时和正常地访问和使用信息系统。
这些标准通常包括容灾备份、故障恢复、性能优化等措施。
(4)法律合规性标准:法律合规性标准主要关注信息系统的合法性和合规性,旨在遵守相关的法律法规和行业要求。
这些标准通常包括隐私保护、数据保护、知识产权保护、网络安全法律法规合规等措施。
3. 分级管理的策略:(1)风险评估:对信息系统进行风险评估,确定系统的安全需求和对应的安全等级。
(2)安全分类:根据安全等级和安全需求,将信息系统进行分类,并确定相应的安全控制措施。
信息安全评估标准简介
信息安全产品评估标准综述全国信息安全标准化技术委员会安全评估标准组崔书昆信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。
这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。
一、国外信息安全产品评估标准的发展以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。
到20世纪末,美国信息安全产品产值已达500亿美元。
随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。
(一)国外信息安全产品评估标准的演变国际上信息安全产品检测评估标准的发展大体上经历了三个阶段:1.本土化阶段1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。
在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。
在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。
2.多国化阶段由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。
1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。
这为多国共同制定信息安全标准开了先河。
为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、法、德、荷、加五国国防信息安全机构,加上美国国防部国家安全局(NSA)和美国商务部国家标准与技术局(NIST))共同制定一个供欧美各国通用的信息安全评估标准。
等级保护、风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
安全风险分级评估范围
安全风险分级评估范围
安全风险分级评估的范围可以包括以下方面:
1. 信息安全风险评估:评估信息系统和数据的安全风险,包括网络安全风险、系统漏洞、数据泄露等。
2. 物理安全风险评估:评估物理环境中的安全风险,包括设备丢失、灾害风险、入侵等。
3. 人员安全风险评估:评估员工和外部人员对安全的威胁,包括内部恶意操作、社会工程等。
4. 过程和操作风险评估:评估组织内部的过程和操作中的安全风险,包括安全规范和政策的执行风险、安全控制措施的脆弱性等。
5. 合规性风险评估:评估组织是否符合法律、法规、行业规范等合规要求,包括数据隐私保护、个人信息保护、数据处理合规等。
6. 供应链风险评估:评估与组织相关的供应商、合作伙伴和第三方,包括供应商的信息安全控制、数据保护措施等。
综上所述,安全风险分级评估范围涵盖了信息安全、物理安全、人员安全、过程和操作安全、合规性安全以及供应链安全等多个方面。
网络信息安全等级与标准
我国网络信息安全的相关政策法规
❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定》 ❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 ❖ 《中国互联网络域名注册暂行管理办法》 ❖ 《中国互联网络域名注册实施细则》 ❖ 《中华人民共和国计算机信息系统安全保护条例》 ❖ 《关于加强计算机信息系统国际联网备案管理的通告》 ❖ 《中华人民共和国电信条例》中华人民共和国国务院令(第291号) ❖ 《互联网信息服务管理办法》中华人民共和国国务院令(第292号) ❖ 《从事放开经营电信业务审批管理暂行办法》 ❖ 《电子出版物管理规定》 ❖ 《关于对与国际联网的计算机信息系统进行备案工作的通知》 ❖ 《计算机软件保护条例》 ❖ 《计算机信息网络国际联网出入口信道管理办法》
• 实施方法
❖ 在组织实施网络与信息安全系统时,应该将技术层 面和管理层面良好配合。
❖ 在信息安全技术层面,应通过采用包括建设安全的 主机系统和安全的网络系统,并配备适当的安全产 品的方法来实现
❖ 而在管理层面,则可以通过构架ISMS来实现。
信息安全管理体系构建
❖ 定义信息安全策略 ❖ 定义NISMS的范围 ❖ 进行信息安全风险评估 ❖ 信息安全风险管理 ❖ 确定管制目标和选择管制措施 ❖ 准备信息安全适用性声明
A级)。
D级和A级暂时不分子级。每级包括它下级的所有
特性,从最简单的系统安全特性直到最高级的计算机
安全模型技术,不同计算机信息系统可以根据需要和
可能选用不同安全保密程度的不同标准。
网络信息安全等级与标准
1) D级 D级是最低的安全形式,整个计算机是不信任的, 只为文件和用户提供安全保护。D级系统最普通的形 式是本地操作系统,或者是一个完全没有保护的网络。 拥有这个级别的操作系统就像一个门户大开的房子, 任何人可以自由进出,是完全不可信的。对于硬件来 说,是没有任何保护措施的,操作系统容易受到损害, 没有系统访问限制和数据限制,任何人不需要任何账 户就可以进入系统,不受任何限制就可以访问他人的 数据文件。
分级评估指南eal3
分级文档编写指南EAL3版本:2.0©版权2008—中国信息安全测评中心二〇〇八年八月目录1安全目标 (1)1.1ST引言 (1)1.2TOE描述 (1)1.3TOE安全环境 (2)1.4安全目的 (4)1.5IT安全要求 (4)1.6TOE概要规范 (5)1.7PP声明 (6)1.8基本原理 (7)2配置管理 (8)2.1配置管理能力 (8)2.2配置管理范围 (8)3交付和运行 (9)3.1交付 (9)3.2安装、生成和启动程序 (9)4开发类文档 (10)4.1功能规范 (10)4.2高层设计 (10)4.3对应性分析文档 (10)5指导性文档 (11)5.1管理员指南 (11)5.2用户指南 (11)6测试相关文档 (12)6.1功能测试 (12)6.2测试范围分析 (12)6.3测试深度分析 (12)7生命周期支持相关文档 (13)7.1开发安全 (13)8脆弱性分析 (14)8.1误用分析 (14)8.2安全功能强度分析 (14)8.3脆弱性分析 (14)1安全目标(ST)一个ST包括特定的TOE的IT安全要求以及TOE提供的规定安全功能和保证措施,以满足所述的安全要求。
对一个TOE而言,ST是开发者、评估者、用户在TOE安全特性和评估范围之间达成一致的基础。
一个ST读者不限于对TOE制造和评估负有责任,但可能负有管理、营销、购买、安装、配置、操作和使用TOE的责任。
ST应是一个面向用户使用的文档,应尽可能少地引用用户不易得到的其他材料。
申请者提供的文档《安全目标》编写方法详见GB/Z 20283《信息安全技术保护轮廓和安全目标产生指南》,本文档只作概要性的描述。
1.1ST引言1.1.1ST标识1) 包括ST 标识信息,如:ST 标题、版本号、申请的保证级别、编写日期和作者;2) 包括此ST文档所描述的TOE 标识信息,如:TOE 名称、TOE 版本号。
1.1.2ST概述1)概括ST的文档结构及所包含的内容;2)概括介绍TOE 的类别、形态、主要组成、功能及应用环境。
数据安全4个等级分级标准
数据安全4个等级分级标准数据安全4个等级分级标准如下:1.一级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。
2.二级数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害。
二级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。
3.三级数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害。
三级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。
4.四级数据:数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。
四级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。
数据处理者应在国家数据安全角度出发,结合行业数据分类分级规则或组织生产经营需求,考虑影响对象、影响程度两个要素进行分级。
这个等级标准是由国家相关机构和专家根据数据安全法、相关行业规定和实际情况制定出来的。
在制定过程中,他们考虑了数据的敏感程度、重要性、对个人和组织的影响程度等因素,同时也借鉴了国际上的相关标准和经验。
制定这个等级标准的目的是为了保护个人和组织的合法权益,维护国家安全和社会公共利益,促进数据的合理利用和发展。
隐私保护和用户隐私的区别主要体现在以下两个方面:1.定义:隐私保护是一种对个人信息和隐私进行保护的行为或措施,旨在防止未经授权的访问、使用、泄露或滥用。
而用户隐私是指个人在使用产品或服务时所涉及的隐私信息,包括但不限于个人身份信息、浏览记录、搜索历史、位置信息等。
2.范围:隐私保护的范围相对较广,包括个人信息的收集、存储、处理、使用和共享等方面。
它不仅涉及个人隐私,还可能包括企业机密、商业敏感信息等。
国家信息安全测评信息安全产品自主原创测评白皮书
国家信息安全测评信息安全产品自主原创测评白皮书版本:1.0©版权2008—中国信息安全测评中心二〇〇八年三月目录目录 (I)第1 章简介 (1)1.1 引言 (1)1.2 目的和意义 (1)1.3 业务范围 (2)第2 章自主原创测评业务介绍 (3)2.1 业务特点 (3)2.1.1 国家权威 (3)2.1.2 公平、公正、保密 (3)2.1.3 成熟的技术 (3)2.2 业务需求 (3)2.2.1 支持自主产权 (3)2.2.2 经济发展需要 (3)2.2.3 政策措施完善 (3)2.3 依据标准 (4)第3 章自主原创测评方法介绍 (5)3.1 企业自主原创环境和能力测评 (5)3.1.1 企业资质考查 (5)3.1.2 企业管理状况考查 (6)3.1.3 企业产品研发生产环境和过程 (7)3.2 产品自主原创资质和技术测评 (8)3.2.1 产品资质 (8)3.2.2 产品安全性测评 (8)3.2.3 产品核心技术同源性分析 (8)3.3 自主原创测评内容综述 (9)第4 章自主原创测评流程介绍 (10)4.1 自主原创测评流程综述 (10)4.2 资料提交和说明 (12)4.2.1 业务受理阶段(申请书)所需提交的资料 (12)4.2.2 测评实施阶段(启动通知单)所需提交的资料 (13)4.3 自主原创测评业务接口说明 (13)4.3.1 测评内容 (14)4.3.2 人员及时间 (15)4.3.3 监督测评 (15)4.3.4 代码托管 (15)4.4 业务输出 (15)第 1 章简介1.1 引言当今世界,国家的核心竞争力越来越表现为对智力资源和智慧成果的培育、配置、调控能力,表现为对知识产权的拥有、运用能力。
因此,加强我国自主知识产权的建设,大力提高对知识产权的创造、管理、保护、运用能力,是完善社会主义市场经济体制、规范市场秩序和建立诚信社会的迫切需要,是增强我国企业市场竞争力、提高国家核心竞争力的迫切需要。
it产品信息安全认证 分类分级标准
it产品信息安全认证分类分级标准"IT产品信息安全认证分类分级标准"是当今信息技术领域中备受关注的一个话题。
信息安全问题已经成为各行各业不可忽视的重要议题,特别是随着互联网和大数据时代的到来,对IT产品信息安全认证的需求更加迫切。
在这篇文章中,我们将从简单到复杂,由浅入深地探讨这一主题,以帮助读者全面领会IT产品信息安全认证分类分级标准的重要性和复杂性。
1. 背景介绍让我们先从IT产品信息安全认证的背景介绍开始。
随着信息技术的不断发展和普及,人们对个人隐私安全和数据保护的关注度越来越高。
网络安全事件的频发也使人们对IT产品信息安全认证的需求日益增加。
信息安全认证是指对IT产品在设计、研发、生产、销售和使用中,对信息安全性能、漏洞和缺陷进行评估、测试、鉴定和认证的活动。
在这一背景下,各国纷纷制定了一系列的信息安全认证标准和分类分级标准,以保障IT产品的安全性和可信度。
2. IT产品信息安全认证分类分级标准的重要性我们需要了解IT产品信息安全认证分类分级标准的重要性。
信息安全认证的分类分级标准不仅可以帮助企业和消费者选择具有高度可信度和安全性的IT产品,还可以指导IT企业开展信息安全保护工作,规范和促进信息化产品在安全性方面的发展。
信息安全认证分类分级标准还可以提升国家信息安全管理和监管的效能,防范和化解网络安全风险,维护国家和社会的信息安全和稳定。
对IT产品信息安全认证分类分级标准的重要性不言而喻。
3. IT产品信息安全认证分类分级标准的内容和体系接下来,让我们深入了解IT产品信息安全认证分类分级标准的内容和体系。
各国或地区在信息安全认证方面都制定了各自的标准和分类分级体系。
国际上比较知名的包括ISO/IEC 27001信息安全管理体系认证、ISO/IEC 15408计算机系统信息安全性标准等。
而在中国,信息安全认证标准包括了GB/T 20250信息安全技术等级保护系统、GB/T 22239信息安全技术安全等级评定等。
中国信息安全测评中心给出的安全可靠等级
中国信息安全测评中心给出的安全可靠等级1.引言1.1 概述概述部分的内容可以描述中国信息安全测评中心(简称CITC)的重要性以及其对信息安全领域的贡献。
中国信息安全测评中心(CITC)是中国国家计算机网络应急技术处理协调中心(CNCERT)下属的一家专业机构。
它致力于评估和认证各类信息系统和产品的安全性和可靠性,为保障国家信息安全作出了重要贡献。
在信息安全领域中,信息系统和产品的安全性是至关重要的。
随着网络的快速发展和信息技术的普及应用,安全性问题也日益凸显,恶意攻击、数据泄露和系统漏洞等威胁不断增加,严重威胁国家的安全和社会的稳定。
因此,评估和认证信息系统和产品的安全性变得至关重要。
CITC作为中国权威的信息安全测评机构,拥有丰富的经验和专业的技术团队。
它通过制定一系列严格的安全可靠等级评估标准,对各类信息系统和产品进行科学、客观、全面的评估和测试,准确评估其在安全性和可靠性方面的表现。
这些评估标准不仅适用于政府部门和军队的信息系统,也适用于企事业单位的信息系统和产品。
通过CITC的评估,可以及时发现和解决信息系统和产品存在的安全隐患,提升其安全性和可靠性,确保信息系统和产品的正常运行和数据的安全保密。
在国家信息安全战略的背景下,CITC的工作对于国家各个行业和企事业单位的信息安全至关重要。
通过CITC的评估认证,可以为国家信息安全提供可靠的支持,推动信息安全技术的创新和发展,提升整个国家信息安全保障体系的水平。
总之,中国信息安全测评中心在信息安全领域具有重要地位和作用,它通过严格的安全可靠等级评估,为各类信息系统和产品的安全性提供了科学的评估和认证,为国家信息安全建设做出了重要贡献。
1.2 文章结构文章结构是一个文章所采用的组织方式,它有助于读者理解和跟随文章的逻辑思路。
本文的文章结构分为引言、正文和结论三个部分。
引言部分主要包括三个方面的内容。
首先,概述部分阐述了中国信息安全测评中心给出的安全可靠等级评估的背景和意义。
信息安全产品测评认证级别(EAL1、EAL2~EAL7)的意思
信息安全产品测评认证级别目前,我们把信息安全产品的测评认证分为7个级,并分别对应CC评估标准的7个级别(EAL1——EAL7)。
评估保证级1(EAL1)——功能测试;EAL2——结构测试;EAL3——系统地测试和检查;EAL4——系统地设计;EAL5——半形式化设计和测试;EAL6——半形式化验证的设计和测试;EAL7——形式化验证的设计和测试。
在这7个级别中,获证的级别越高,其安全性和可信性就越高,产品就可对抗来自越高程度的威胁,同时也适用更高级别的风险环境。
目前我们中心开展了EAL1——EAL5级别的认证工作,第五级目前只针对SIM卡、IC卡这样的产品,而1——4级可以对一般的网络安全产品进行认证。
由于在对信息安全产品高级别第7级的认证中,每一行代码都要求有形式化论证,要求撇开它们的属性、使用功能和用户的背景,从数学上来证明其安全性,这样做非常困难,代价也很高。
因此,目前在全世界范围内,最高已做到EAL5级——半形式化测评认证。
EAL5级以上的就做得非常的少了。
分级测评认证工作是一项技术强度高、程序严谨的工作。
以下以网络安全产品4级认证为例作一介绍。
一个网络产品要进行EAL4级认证,需要经过准备、正式测评和认证三个阶段。
在准备阶段,首先需要提交包括安全目标、功能规范、TOE安全策略模型、高层设计等多达13、14种的材料;然后对这些提交的材料、产品文档等以文档形式化审查和技术审查、现场考察等形式进行预评估,根据预评估结果了解相关证据、生产流程、安全功能、安全保证措施以及相关文档规范是否能达到相应级别的安全要求。
并提供必要的技术指导和交流、调整或改进的建议,以保证TOE达到受理要求,开展后续评估工作。
完成预评估后召开项目启动会议,这同时标志着正式测评工作的开始。
项目启动会议确定双方参与人员及联系方式。
然后开始进行ST评估、TOE评估及现场核查,同时对产品的生命周期支持、配置管理、交付和运行文档、指导性文档、脆弱性分析文档等进行一系列的测试和评估。
信息安全成熟度评估等级参考线
设立有更为完善的网络域操作管理 类制度,至少还包括:变更安全管 理、信息交换安全管理、安全监控 管理 设立完整的物理安全类制度和访问 控制类制度 设立基本的资产管理类制度、信息 事故管理类制度和业务连续性管理 制度,至少包括设备安全管理、信 息资产安全管理、信息安全事件和
对日常安全操作和资产部署与维护 以详细描述的方式(结构化描述) 对人员与培训的流程至少以简单的 描述性文字进行规定 对有详细描述的流程进行过程定性 检查,对简单描述的流程进行结果 定性检查 各个流程均需对各个环节的过程文 档交付进行定义,详细描述的流程 还应提供文档模板
总评
组织
信息系统中有初步的安全设计,有
基本的安全硬件部署或者简单安全 组织内无固定的信息安全执行人
1级
规程
员,信息安全工作一般由IT部门抽
安全责任完全归属于IT服务部门 调空余人员完成
信息系统中有简单的安全设计,部 IT部门内设有专人,以兼职的方式
署了安全软硬件,制定了得到遵守 完成信息安全相关工作
定期检查安全设备日志,并根据日 志检查结果不断优化和完善防护策 略,进行针对性防御。 定期更新安全库,并且在重大安全 新闻出现后及时进行针对性系统检 查。 业务系统拥有至少一份同城备份或 可用云端服务备份,备份有效性有 验证手段。 针对紧急情况的应对,组织定期演 练。
全组件(如文档防泄漏系统、数据
加密系统等)配用不少于2类。
BS类系统的通讯,以及CS类系统对 安全业务操作人员能独立操作企业
其他系统的通信应该基于公开的通 内部安全相关软硬件。
信标准协议实现。
非安全操作人员了解安全知识、日
应用系统登录支持二次开发,可对 常安全操作及意义,并作为自己工
接第三方认证登录。
信息安全风险评估服务证书等级划分
信息安全风险评估服务证书等级划分信息安全风险评估服务证书等级分为一级、二级、三级、四级,其中一级最高,四级最低。
1. 一级:具有独立法人资格,注册资本不少于1000万元,近三年对应类别收入总额不少于3000万元,拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要,应建立完备的质量管理体系、信息安全管理体系、信息技术服务管理体系,将服务项目纳入与管理体系相符合的管理流程或管理工具中,体系须通过国家认可的第三方认证机构认证,且连续有效运行时间不少于一年。
企业主要负责人和主要技术负责人均拥有5年以上信息技术领域管理经历或信息安全服务对应类别管理能力。
企业应拥有充足的信息安全专业人员,其中信息安全工程师不少于15人,信息安全项目经理不少于5人。
企业还应具备相应的施工及检测设备、质量安全生产管理体系、人事财务档案管理制度以及售后服务管理体系。
2. 二级:注册资本不少于500万元,近三年对应类别收入总额不少于500万元。
其余的条件在一级的基础上进行简化,例如可以建立完备的质量管理体系,也可以建立信息安全管理体系或信息技术服务管理体系,体系通过国家认可的第三方认证机构认证即可。
企业主要负责人和主要技术负责人均拥有3年以上或4年以上的信息技术领域管理经历或信息安全服务对应类别管理能力。
企业应拥有充足的信息安全专业人员,其中信息安全工程师不少于8人,信息安全项目经理不少于3人。
企业还应具备相应的软硬件设备、保密管理体系、人事财务档案管理制度以及售后服务管理体系。
3. 三级:注册资本不少于100万元,近三年对应类别收入总额不少于100万元。
其余的条件在二级的基础上进行简化,例如建立质量管理体系即可,体系通过国家认可的第三方认证机构认证即可。
企业主要负责人和主要技术负责人均拥有1年以上或2年以上的信息技术领域管理经历或信息安全服务对应类别管理能力。
企业应拥有充足的信息安全专业人员,其中信息安全工程师不少于4人,信息安全项目经理不少于2人。
信息安全风险分级评估
信息安全风险分级评估
信息安全风险分级评估是指对信息系统中的风险进行分类和评估,以确定其对组织的威胁程度和潜在损失大小,进而制定相应的安全措施和应对策略。
以下是关于信息安全风险分级评估的一些内容。
首先,信息安全风险分级评估需要综合考虑多个方面的因素,包括攻击的可能性、影响的程度、系统的重要性以及已有的安全措施等。
根据风险的发生概率和严重程度,将不同的风险等级划分为高、中、低三个级别。
其次,高风险等级通常指的是那些可能性较高且对组织造成严重影响的风险,比如未经授权访问重要数据、系统故障导致服务中断等。
对于高风险等级的风险,组织需要采取一些重要措施来减轻其影响,如加强访问控制、设立灾备机制等。
中风险等级一般指的是那些可能性适中且对组织造成一定影响的风险,比如恶意软件感染、数据泄露等。
对中风险风险的评估后,组织需要采取一些合理的安全措施来降低其发生概率和影响程度,如加强日常监测和防护、进行定期的备份和恢复等。
低风险等级一般指的是那些可能性较低且对组织影响不大的风险,比如系统漏洞、用户误操作等。
对于低风险等级的风险,组织可以采取一些基础的安全措施来进行防护,比如定期更新补丁、加强培训宣传等。
最后,信息安全风险分级评估需要定期进行更新和调整,以适
应不断变化的威胁环境。
随着技术的进步和攻击手段的变化,原先被认为是低风险的情况可能会升级为中甚至高风险,因此需要组织及时调整并更新其安全策略和措施。
总之,信息安全风险分级评估是组织评估和管理信息安全风险的重要手段,可以帮助组织合理分配资源,制定有效的安全措施,最大程度地保护信息系统和数据的安全。
信息安全等级保护分级第三级
信息安全等级保护分级第三级信息安全等级保护分级是国家对信息系统安全等级进行评定和管理的一种制度。
根据《信息安全等级保护管理办法》的规定,我国将信息系统分为五个等级,分别为第一级、第二级、第三级、第四级和第五级。
本文将重点介绍信息安全等级保护分级的第三级。
第三级信息安全等级保护是指对涉及国家利益、公共利益和重要商业利益的信息系统进行保护的一种等级。
该等级的信息系统具有较高的安全要求,需要采取一系列的技术和管理措施来确保其安全性。
第三级信息安全等级保护要求系统具备一定的安全防护能力。
这包括防火墙、入侵检测系统、安全审计系统等安全设备的部署和使用。
同时,系统需要进行定期的漏洞扫描和安全评估,及时修补和改进系统的安全性。
第三级信息安全等级保护要求系统具备较高的身份认证和访问控制能力。
系统需要采用强密码机制,并且要求用户定期更换密码。
对于重要操作和敏感数据的访问,系统需要进行严格的身份认证和访问控制,确保只有授权用户可以进行相关操作。
第三级信息安全等级保护还要求系统具备完善的数据加密和传输安全能力。
对于重要数据的存储和传输,系统需要采用加密算法进行加密,确保数据在存储和传输过程中不被窃取或篡改。
同时,系统需要采用安全的通信协议,确保数据在传输过程中不被截获或篡改。
第三级信息安全等级保护还要求系统具备完备的安全监控和应急响应能力。
系统需要部署安全监控设备,对系统进行实时监控,及时发现并应对安全事件。
同时,系统需要建立健全的安全事件应急响应机制,对安全事件进行及时处理和处置,减少损失和影响。
第三级信息安全等级保护还要求系统具备完善的安全管理和培训机制。
系统需要建立健全的安全管理制度,明确安全责任和权限,加强对系统的安全管理和监督。
同时,系统需要定期进行安全培训,提高用户和管理人员的安全意识和技能,确保他们能够正确使用系统并防范安全威胁。
第三级信息安全等级保护对信息系统的安全性提出了较高的要求,需要系统具备安全防护能力、身份认证和访问控制能力、数据加密和传输安全能力、安全监控和应急响应能力以及安全管理和培训机制。
信息安全分级评估eal
信息安全分级评估ealEAL(Evaluation Assurance Level)是指对计算机系统、产品或服务进行信息安全分级评估的一种方法。
EAL采用了由国际标准化组织(ISO)和国际认可论坛(CC)共同制定的准则和评估标准,用于衡量一个系统、产品或服务的信息安全性能和可信度。
EAL分为以下七个级别:1. EAL1:功能测试级别。
主要进行系统功能和文件完整性的测试,并对系统进行了描述和文档化。
2. EAL2:结构测试级别。
测试包括对系统结构、应用文档和安全功能的评估。
确保系统具备一定的规范和文档化要求。
3. EAL3:方法测试级别。
要求系统具备一定的结构、方法和标准化的文档方法。
对可能的威胁进行评估,并制定安全保护计划。
4. EAL4:固化测试级别。
对系统结构和威胁进行了详细的评估,以保证系统设计和实施的安全性。
系统必须进行详细文档化,并有相应的测试和分析过程。
5. EAL5:半形式验证级别。
系统需要利用形式化方法进行安全性验证,确保系统设计与规范相符。
包括系统的详细文档化、测试和开发过程的分析。
6. EAL6:形式验证级别。
系统需要进行形式验证,以确保设计和实施的安全性。
包括系统的详细文档化、测试和开发过程的分析。
7. EAL7:形式验证最高级别。
要求系统具备最高的安全性和可信度,并对系统实施进行了详细的文档化和形式验证。
EAL级别越高,系统的安全性能和可信度就越高。
这些级别可以用于评估和对比不同系统、产品或服务的信息安全性能,并指导信息安全的实践和决策。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全产品分级评估是指依据国家标准GB/T 18336—2001,
综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。
中国信息安全产品测评认证中心多年来依据国家授权对外开展信息安全产品测评业务,是代表国家对信息安全产品的最高认可,出
具的测评报告具有极高的权威性。
中国信息安全产品测评认证中心依据国标GB/T 18336—2001开展分级评估业务,该标准等同采用国际标准ISO/IEC 15408:1999,所采用的评估方法均为国际通用方法,具备强大的国际认可基础。
目前中国信息安全测评中心使用的标准:
GB/T 18336—2008 《信息技术安全技术信息技术安全性评估准则》(ISO/IEC 15408:2005)
信息安全技术安全通用评估方法:ISO/IEC 18045:2005
产品分级评估(EAL)是评估保证要求的一个基线集合。
每一评估保证级定义一套一致的保证要求,合起来,评估保证级构成预定义的GB/T 18336保证级尺度。
在GB/T 18336中定义了以下7个评估保证级:
(1) 评估保证级1(EAL1)——功能测试;
(2) 评估保证级2(EAL2)——结构测试;
(3) 评估保证级3(EAL3)——系统地测试和检查;
(4) 评估保证级4(EAL4)——系统地设计、测试和复查;
(5) 评估保证级5(EAL5)——半形式化设计和测试;
(6) 评估保证级6(EAL6)——半形式化验证的设计和测试;
(7) 评估保证级7(EAL7)——形式化验证的设计和测试。
分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。
获得的认
证级别越高,安全性与可信度越高,产品可对抗更高级别的威胁,适用于较高的风险环境。
不同的应用场合(或环境)对信息技术产品能够提供的安全性保证程度的要求不同。
产品认证所需代价随着认证级别升高而增加。
通过区分认证级别满足适应不同使用环境的需要。
7个级别的高低次序在确定时权衡了各个级别所获得的保证、达到该保证度所需的测评认证代价,以及测评认证工作的可行性。
每个高级别的认证级别都要比所有较低级别提供更多的保证,通过在同一保证类中高级别的保证组件替换低级别的相应组件(即增加严格性、范围或深度),或增加另一个保证类中的保证组件(例如,添加新的保证要求)来实现。
目前中国信息安全产品测评认证中心开展了EAL1~4
级四个认证级别的认证工作。
其中除智能卡最高级有4级外,其他最高直到三级。
Q&A
一、分级评估的目的和意义是什么?
1. 对信息安全产品依据国家标准进行分级评估;
2. 判定产品是否满足标准中的安全功能和安全保证要求;
3. 有助于在涉及国家安全的信息安全领域中加强产品的安全性和
可控性,维护国家和用户的安全利益;
4. 促进中国信息安全市场优胜劣汰机制的建立和完善,规范市场。
二、分级评估业务适用范围有哪些?
具有信息技术安全功能的产品,如:防火墙,IDS/IPS、智能卡、网闸、桌面控制、审计等。
三、分级评估目前可受理的级别包括哪些?
目前可受理的级别包括:EAL1、EAL2、EAL3、EAL4、EAL5及上述各级别的增强级。
四、对分级评估申请者有什么要求?
向中国信息安全测评中心(以下简称国家测评中心)提交分级评估申
请的用户,须符合以下要求: 1. 政府机关、具有独立法人资格的合法经营机构或研究机构,可直接向国家测评中心提出评估申请; 2. 涉外企业须通过国内代理向国家测评中心提出评估申请,代理机构应符合第1项中的要求。
五、如何申请分级评估? 申请方应填写《信息安全产品分级评估申请书》(可通过国家测评中心网站下载),其中纸版、电子版各两份。
国家测评中心在收到申请书后的10个工作日内,通知申请方是否正式受理申请。
六、分级评估依据和参考的标准是什么?
依据标准:1. GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》。
参考标准: 1. 《通用评估方法》; 2. 产品相应保证级的安全技术要求; 3. 产品相关国家和国际标准。
七、分级评估的主要步骤有哪些?
1. 文档评估:对分级文档进行评估;
2. 安全性测试:包括独立性测试、穿透性测试;
3. 现场核查:EAL3级(含)以上需要此步骤,核查配置管理、开发安全、交付运行。
八、分级评估的主要阶段包括哪些?
1.受理阶段;
2.预评估阶段;
3.评估阶段:
4.注册阶段。
九、产品送测的具体要求是什么? 用户按下列要求将送测物品送达国家测评中心:
1. 产品提交时间最晚不得超过评估进展至50%时;
2. 产品配置必须与ST中描述的完全一致;
3. 送测样品(硬、软件)至少两台套;
4. 相关的产品配件,如IC卡、磁盘、光盘等;
5. 完整的技术文档、指令手册、用户手册等;
6. 相关的计算机或通信外设;
7. 申请者在其它测试机构测试或自测的有关文档;
8. 其它需要的技术文件。
十、现场核查的主要内容有哪些? EAL3级(含)以上分级评估包括现场核查的内容:
1. 现场核查约在评估过程进行至70%左右时进行;
2. 现场核查的内容包括配置管理、交付运行和开发安全;
3. 现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。
十一、分级评估的周期有多长?
评估开始时间为厂家接到项目启动通知单的时间,评估结束时间为评估部门出具评估技术报告的时间。
* EAL1: 20个工作日 * EAL2: 30个工作日 * EAL3: 60个工作日 * EAL4: 90个工作日 * EAL5: 120个工作日十二、评估后的产品,注册公告需多长时间? 产品通过评估后,将进入注册公告阶段,其时间为10个工作日。
(学习的目的是增长知识,提高能力,相信一分耕耘一分收获,努力就一定可以获得应有的回报)。