等级保护测评讲解
合集下载
等级保护测评-完全过程(非常全面)[优质ppt]
![等级保护测评-完全过程(非常全面)[优质ppt]](https://img.taocdn.com/s3/m/a0f55dbb71fe910ef12df8d2.png)
组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
等级保护测评过程 以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护测评标准
等级保护测评标准等级保护测评标准是一种用来评估特定等级保护需求的标准。
这些标准是为了保护信息系统和网络免受未经授权和非法访问的攻击和侵害而制定的。
等级保护测评标准可帮助组织评估其信息安全状态、制定信息安全策略、计划并执行安全措施,以及确保其在安全方面的成果。
等级保护测评标准分为四个级别:第一级为基本水平、第二级为正常水平、第三级为重要水平、第四级为核心水平。
在等级保护测评标准中,每个级别都有不同的安全要求和控制,这些要求和控制是为了保障系统的完整性、保密性和可用性。
以下是每个级别的详细解释。
第一级:基本水平第一级被认为是最基本的级别。
它要求系统并确保至少具有常规的安全保障和控制措施。
这些措施包括对密码和账户进行管理、防病毒措施、网络防火墙和安全审计等。
此级别主要适用于一些非关键信息系统以及不涉及重要数据的资源保护。
第二级:正常水平第二级意味着信息系统需要有更高的安全控制和保险。
不仅需要满足第一级的标准,同时还需要比第一级更加全面和严格的措施。
它适用于一些较为关键的信息系统,包括存储个人身份信息、强制访问控制、加密、备份和短信验证等。
第三级:重要水平第三级的等级保护测评标准更为严格,适用于那些带有重要敏感数据的信息系统。
此级别要求更高的安全控制和保险,包括访问控制、加密、备份和审计等机制,并采用更完整和紧密的安全布局防范恶意攻击。
第四级:核心水平第四级要求在信息系统安全上要得到最高程度的关注。
此级别的等级保护测评标准涵盖了计算机安全性所有的要求和情况,包括访问控制、加密、备份、审计、红队-蓝队练习等。
此类安全控制是围绕极高风险的敏感资源设计的,比如那些涉及国家安全、财政安全,商业安全等的信息系统。
总的来说,四种等级保护测评标准都有其独特的安全需求和要求。
对于信息技术安全人员或者公司决策者而言,应该根据自身任务和财务绩效进行评估,制定相应的安全策略供应用以确保数据和信息系统安全。
等级保护测评讲解.共45页
等级保护测评讲解.
1、战鼓一响,法律无声。——英国 2、任何法律的根本;不,不成文法本 身就是 讲道理 ……法 律,也 ----即 明示道 理。— —爱·科 克
3、法律是最保ห้องสมุดไป่ตู้的头盔。——爱·科 克 4、一个国家如果纲纪不正,其国风一 定颓败 。—— 塞内加 5、法律不能使人人平等,但是在法律 面前人 人是平 等的。 ——波 洛克
66、节制使快乐增加并使享受加强。 ——德 谟克利 特 67、今天应做的事没有做,明天再早也 是耽误 了。——裴斯 泰洛齐 68、决定一个人的一生,以及整个命运 的,只 是一瞬 之间。 ——歌 德 69、懒人无法享受休息之乐。——拉布 克 70、浪费时间是一桩大罪过。——卢梭
等级保护测评-完全过程(非常全面)
信息系统终止
2021/10/10
7
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与 实施、安全运行维护、信息系统终止”等五个阶段。
信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、
公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责, 谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分 析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指 导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系 统的安全保护现状与等级保护要求之间的差距。 安全设计与实施 安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步 落实安全措施 安全运行维护 安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与 维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥 的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上 述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其 它标准或指南 信息系统终止 信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的 敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上 2021/1的0/废10弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移8 、 设备迁移和介质销毁等方面的安全
[课件]等级保护测评介绍PPT
![[课件]等级保护测评介绍PPT](https://img.taocdn.com/s3/m/8e8c15113968011ca30091e5.png)
等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
保密性原则
15
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及 对应的安全建设 情况,开展针对 性较强的测评工 作。
保密性原则
个性化原则
16
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要 求和组织的具体网络特点定制的,具范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
等保一级二级三级四级测评项对比
等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿,啥叫等保呢?就是“等级保护”,全称叫做《信息安全技术网络安全等级保护基本要求》。
简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。
简单点说,就是你的网站有多重要,相关部门对你要求的安全防护就有多高。
等保的等级从一级到四级,四级就等于是“顶级防护”,一级呢,就是最基础的保护。
你看哈,就像是咱家的门锁一样,一星级门锁只能防止小偷偷东西,四星级门锁嘛,就算是黑客来也得瑟瑟发抖。
所以今天咱就来看看这四个等级有啥不一样,各自的测评项有哪些区别。
咱先从等保一级说起,基本上属于“随便打个防护墙也就够了”的级别,主要适用于一些没有啥敏感数据、对安全要求不高的小系统。
你想啊,像咱家的WiFi密码,可能也就不过是一个简单的“123456”,那啥,基本上是不会有黑客来攻破你家防线的。
这个级别的测评项主要是看你有没有做一些基本的安全措施,比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。
低调,简单,只要能防住一般的小问题就行了。
再说等保二级吧,哎呦,这就好像是换了个更结实的门锁,防盗网也加上了,不单单是防止普通的黑客攻击了,还得防止一些有点儿“水平”的攻击者。
这个级别的测评就多了,比如会看看你的系统有没有定期做漏洞扫描,系统的日志有没有记录,权限控制是不是合理。
这个就像你家门锁不光得结实,还得有个监控摄像头,看见有可疑的人就能报警。
简单说吧,二级安全还是比较基础的,差不多能防住那些不太专业的攻击了。
然后咱说说三级,这就厉害了,三级差不多就相当于家里换了带密码的智能锁,防盗网也升级为全自动的那种。
三级的测评项可就多了,不光得看防护能力,还得看管理、运维、数据保护等各方面。
比如有没有定期的安全巡检?系统的漏洞有没有及时打补丁?数据的备份是不是做好了?这个时候,系统的安全防护已经不只是看“有没有密码”,而是更侧重于“如何保护”了。
等级保护测评-完全过程(非常全面)
A:保护系统连续正常的运行,免受对 系统的未授权修改、破坏而导致系统不可 用的服务保证类要求;--电力供应、资源控 制、软件容错等
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级
等
安全总体规划
级
变
更
安全设计与实施
局 部 调
整 安全运行维护
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级
等
安全总体规划
级
变
更
安全设计与实施
局 部 调
整 安全运行维护
等保测评介绍及解决方案(最终)全版.全版.pptx
网络安全等级保护介绍
精品文档
恒生科技:周 伟 2019.08.23
2
主要 内容
一
等保介绍
二
等保必要性
三
测评介绍
四
解决方案
精品文档
3
• 三个分等级
信息系统
三个
分等级
安全事件
安全产品
等级保护的定义: 是指对国家秘密信息、法人或其他组织及
公民专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保 护,对信息系统中使用的安全产品实行按等 级管理,对信息系统中发生的信息安全事件 分等级进行响应、处置。等级保护,即分等 级保护,分等级监管。
针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按 照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按 照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一 万元,对直接负责的主管人员处以罚款五千元的行政处罚。
精品文档
《网络安全法》执法案例
20
案例二:新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告:新乡市封丘县图书馆未按《中国
全完善信息安全等级保护制度”。 中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保
护制度。
精品文档
8
等级保护2.0的法规、标准体系
• 网络安全等级保护条例(制订中-征求意见稿)(总要求/上位文件) •计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准) •网络安全等级保护 基本要求(GB/T 22239-2019) •网络安全等级保护 安全设计技术要求(GB/T 25070-2019) •网络安全等级保护 测评要求(GB/T 28448-2019) •网络安全等级保护 测评过程指南(GB/T 28449-2018) •网络安全等级保护 定级指南(GB/T 22240) (修订) •网络安全等级保护 实施指南(GB/T 25058)(修订)
精品文档
恒生科技:周 伟 2019.08.23
2
主要 内容
一
等保介绍
二
等保必要性
三
测评介绍
四
解决方案
精品文档
3
• 三个分等级
信息系统
三个
分等级
安全事件
安全产品
等级保护的定义: 是指对国家秘密信息、法人或其他组织及
公民专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保 护,对信息系统中使用的安全产品实行按等 级管理,对信息系统中发生的信息安全事件 分等级进行响应、处置。等级保护,即分等 级保护,分等级监管。
针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按 照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按 照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一 万元,对直接负责的主管人员处以罚款五千元的行政处罚。
精品文档
《网络安全法》执法案例
20
案例二:新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告:新乡市封丘县图书馆未按《中国
全完善信息安全等级保护制度”。 中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保
护制度。
精品文档
8
等级保护2.0的法规、标准体系
• 网络安全等级保护条例(制订中-征求意见稿)(总要求/上位文件) •计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准) •网络安全等级保护 基本要求(GB/T 22239-2019) •网络安全等级保护 安全设计技术要求(GB/T 25070-2019) •网络安全等级保护 测评要求(GB/T 28448-2019) •网络安全等级保护 测评过程指南(GB/T 28449-2018) •网络安全等级保护 定级指南(GB/T 22240) (修订) •网络安全等级保护 实施指南(GB/T 25058)(修订)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评原则
标准性原则
测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。
10
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评目的
等级保护测评的主要目的是: 对信息系统安全防护体系能力的分与确认, 发现存在的安全隐患, 帮助运营使用单位认识不足, 及时改进, 有效提升其信息安全防护水平;
遵循国家等级保护有关规定的要求, 对信息系统安全建设进行符合性测评;
整体性原则
最小影响原则
保密性原则
15
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及对 应的安全建设情况, 开展针对性较强的 测评工作。
保密性原则
个性化原则
16
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运行 和业务的正常提供产生 显著影响,尽可能小地 影响系统和网络的正常 运行。
最小影响原则
14
等级保护测评原则
标准性原则
规范性原则 可控性原则
从公司、人员、过程三个 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用测 评中的任何数据进行其他 有损甲方利益的活动; 2.人员保密,公司内部签 订保密协议; 3.在测评过程中对测评数 据严格保密。
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产
测 评 管理层面:从组织的人员、组织结构、管理制度、系统运行保 障措施,以及其它运行管理规范等角度,分析业务运作和管理 内 方面存在的安全缺陷 容
通过对以上各种安全威胁的分析和汇总,形成组织的安全测评 报告 根据组织的安全测评报告和安全现状,提出相应的安全整改建 议,指导下一步的信息安全建设
18
技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
22
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划 等级测评实施 访 谈 检 查 测 试
测评实施
物理安全 网络安全 主机安全
应用安全 安全管理制度
数据安全 安全管理机构 及备份恢复 人员安全管理 系统建设管理 系统运维管理
23
c)
……
等级测评实施 分析系统差距
d) e) f) g) h)
…… …… …… …… …… …
… …
… …
…
…
…
…
…
30
等级保护测评流程---各阶段提交物
前期沟通 测评实施 形成报告
测评指标子类 序号 名称 网络 结构 安全 IOS_ 1 路 由 器_内 部_1 IOS_ 路 由 器 _VPN _1 … … … … … … 部分 符合 4/7 符合 0/4 符合 0/6 符合 0/2 不符 合 网络 访问 控制 网络 安全审 计 边界 完整性 检查 网络 入侵 防范 恶意 代码 防范 不符 合 2/2 网络 设备 防护 部分 符合 6/9
4、测评方式和工具 5、层面测评实施 6、系统测评实施
5、时间计划
6、项目评审
29
等级保护测评流程---各阶段提交物
前期沟通
类别
测评实施
符合情况
形成报告
测评内容 结果记录 a) 应在网络边界部署访问控制设备,启用访 问控制功能; b) ……
网 络 访 问 控 制
等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
7
等级保护测评依据
测评主要标准 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 相GB/TXXXX-XXXX 信息安全技术信息系统安全等级保护测评要求 (报批稿) 关 参考技术标准 GB17859-1999 计算机信息系统安全保护等级划分准则
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要求 和组织的具体网络特点定制的,具有良好的可控性。
12
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
GB/T 20011-2005 信息安全技术 路由器安全测评准则
5
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
2/2
2
…
…
…
等级测评实施
分析系统差距
31
等级保护测评流程---各阶段提交物
前期沟通
序号 分类 子类 符合 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 系 统 运 维 管 理 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 系 统 建 设 管 理 人 员 安 全 管 理 安 全 管 理 机 构 安 制全 度管 理 及数 备据 复份 安 恢全 应 用 安 全 主 机 安 全 网 络 安 全 物 理 安 全 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复 管理制度 制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 部分符合 不符合
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
19
等级保护测评流程
前期沟通
制定计划与培训
进行培训交流 确定项目范围和目标 提出工作限制要求 项目进度安排 确定项目协调会制度
20
标准性原则
规范性原则 可控性原则
整体性原则
测评服务从组织的实际需求出发,从业务角度进行测评, 而不是局限于网络、主机等单个的安全层面,涉及到安 全管理和业务运营,保障整体性和全面性。
13
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评流程
前期沟通
制定计划与培训
收集资料 基本信息调查 前期客户沟通交流 业务应用 小组讨论 文档查看 现场勘查 网络结构 系统构成 基本信息
21
等级保护测评流程
前期沟通
制定计划与培训
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评原则
标准性原则
测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。
10
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评目的
等级保护测评的主要目的是: 对信息系统安全防护体系能力的分与确认, 发现存在的安全隐患, 帮助运营使用单位认识不足, 及时改进, 有效提升其信息安全防护水平;
遵循国家等级保护有关规定的要求, 对信息系统安全建设进行符合性测评;
整体性原则
最小影响原则
保密性原则
15
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及对 应的安全建设情况, 开展针对性较强的 测评工作。
保密性原则
个性化原则
16
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运行 和业务的正常提供产生 显著影响,尽可能小地 影响系统和网络的正常 运行。
最小影响原则
14
等级保护测评原则
标准性原则
规范性原则 可控性原则
从公司、人员、过程三个 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用测 评中的任何数据进行其他 有损甲方利益的活动; 2.人员保密,公司内部签 订保密协议; 3.在测评过程中对测评数 据严格保密。
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产
测 评 管理层面:从组织的人员、组织结构、管理制度、系统运行保 障措施,以及其它运行管理规范等角度,分析业务运作和管理 内 方面存在的安全缺陷 容
通过对以上各种安全威胁的分析和汇总,形成组织的安全测评 报告 根据组织的安全测评报告和安全现状,提出相应的安全整改建 议,指导下一步的信息安全建设
18
技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
22
等级保护测评流程
前期沟通
制定计划与培训
收集资料 测评规划 等级测评实施 访 谈 检 查 测 试
测评实施
物理安全 网络安全 主机安全
应用安全 安全管理制度
数据安全 安全管理机构 及备份恢复 人员安全管理 系统建设管理 系统运维管理
23
c)
……
等级测评实施 分析系统差距
d) e) f) g) h)
…… …… …… …… …… …
… …
… …
…
…
…
…
…
30
等级保护测评流程---各阶段提交物
前期沟通 测评实施 形成报告
测评指标子类 序号 名称 网络 结构 安全 IOS_ 1 路 由 器_内 部_1 IOS_ 路 由 器 _VPN _1 … … … … … … 部分 符合 4/7 符合 0/4 符合 0/6 符合 0/2 不符 合 网络 访问 控制 网络 安全审 计 边界 完整性 检查 网络 入侵 防范 恶意 代码 防范 不符 合 2/2 网络 设备 防护 部分 符合 6/9
4、测评方式和工具 5、层面测评实施 6、系统测评实施
5、时间计划
6、项目评审
29
等级保护测评流程---各阶段提交物
前期沟通
类别
测评实施
符合情况
形成报告
测评内容 结果记录 a) 应在网络边界部署访问控制设备,启用访 问控制功能; b) ……
网 络 访 问 控 制
等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
7
等级保护测评依据
测评主要标准 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 相GB/TXXXX-XXXX 信息安全技术信息系统安全等级保护测评要求 (报批稿) 关 参考技术标准 GB17859-1999 计算机信息系统安全保护等级划分准则
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要求 和组织的具体网络特点定制的,具有良好的可控性。
12
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
GB/T 20011-2005 信息安全技术 路由器安全测评准则
5
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
2/2
2
…
…
…
等级测评实施
分析系统差距
31
等级保护测评流程---各阶段提交物
前期沟通
序号 分类 子类 符合 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 系 统 运 维 管 理 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 系 统 建 设 管 理 人 员 安 全 管 理 安 全 管 理 机 构 安 制全 度管 理 及数 备据 复份 安 恢全 应 用 安 全 主 机 安 全 网 络 安 全 物 理 安 全 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复 管理制度 制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 部分符合 不符合
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
19
等级保护测评流程
前期沟通
制定计划与培训
进行培训交流 确定项目范围和目标 提出工作限制要求 项目进度安排 确定项目协调会制度
20
标准性原则
规范性原则 可控性原则
整体性原则
测评服务从组织的实际需求出发,从业务角度进行测评, 而不是局限于网络、主机等单个的安全层面,涉及到安 全管理和业务运营,保障整体性和全面性。
13
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评流程
前期沟通
制定计划与培训
收集资料 基本信息调查 前期客户沟通交流 业务应用 小组讨论 文档查看 现场勘查 网络结构 系统构成 基本信息
21
等级保护测评流程
前期沟通
制定计划与培训