返回
等级保护测评-完全过程(非常全面)

等级保护测评-完全过程(非常全面)

ID:43232263

大小:1001.28 KB

页数:47页

时间:2019-10-05

等级保护测评-完全过程(非常全面)_第1页
等级保护测评-完全过程(非常全面)_第2页
等级保护测评-完全过程(非常全面)_第3页
等级保护测评-完全过程(非常全面)_第4页
等级保护测评-完全过程(非常全面)_第5页
资源描述:

《等级保护测评-完全过程(非常全面)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、等级保护测评过程以三级为例主题一1234等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法等保测评概述等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。组合分析1、等级测评是测评机构依据国家信息安全等级保护制度规定:《

2、国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》、《信息安全等级保护管理办法》。2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2)定级标准:《信息系统安全保护等级定级指南》、《计算机信息系统安全保护等级划分准则》;建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》;测评标准:《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《信息系统安全等级保护实施指南》;管理标准:《信息系统安

3、全管理要求》、《信息系统安全工程管理要求》。3、运用科学的手段和方法:采用6种方式,逐步深化的测试手段调研访谈(业务、资产、安全技术和安全管理);查看资料(管理制度、安全策略);现场观察(物理环境、物理部署);查看配置(主机、网络、安全设备);技术测试(漏洞扫描);评价(安全测评、符合性评价)。组合分析4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级)作为定级对象的信息系统应具有如下基本特征:具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安

4、全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位;具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象;承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息

5、处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。5、采用安全技术测评和安全管理测评方式:安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全;安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改

6、建议。符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全等级满足与否的结论;安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论;安全整改建议:提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。主题二1234等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法等级保护完全实施过程信息系统定级安全总体规划安全设计与实施安全运行维护信息系统终止安全等级测评信息系统备案安全整改设计等级符合性检查应急预案及

7、演练安全要求整改安全等级整改局部调整等级变更信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。信息系统定级定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。总体安全规划总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情

8、况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。安全设计与实施安全设计与实施阶段的目标是按照信息系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。