信息安全等级保护测评指南
信息安全等级保护测评指南
信息安全等级保护测评指南信息安全等级保护测评是指对信息系统安全等级保护的实施情况进行评估和测试的过程,旨在评估信息系统的安全保护能力,检测信息系统存在的安全隐患,并提出相应的整改建议。
下面是一个信息安全等级保护测评指南,以帮助组织进行有效的测评。
一、测评准备1.明确测评目标和范围:确定测评的具体目标,包括测评的等级保护要求和测评的范围,确保测评的准确性和全面性。
2.组织测评团队:确定测评团队的成员和职责,包括测评组长、技术专家、安全管理人员等,确保测评工作的有效开展。
3.准备测评工具和方法:选择合适的测评工具和方法,包括测评软件、网络扫描工具、物理安全检测设备等,确保测评的可靠性和准确性。
二、测评步骤1.收集信息:收集和了解被测评系统的相关信息,包括系统架构、网络拓扑、数据流程等,以便进行后续的测评工作。
2.风险评估:对系统可能面临的安全风险进行评估和分类,包括内部威胁、外部攻击等,以确定测评的重点和方向。
3.安全策略评估:评估被测评系统的安全策略和安全控制措施的有效性和合规性,包括访问控制、身份认证、加密算法等。
4.物理安全测评:对被测评系统的物理环境进行检测和评估,包括机房的物理访问控制、机柜安装的安全性等,以保证系统的物理安全。
5.网络安全测评:对被测评系统的网络环境进行检测和评估,包括网络设备的配置、网络服务的安全性等,以保证系统的网络安全。
6.系统安全测评:对被测评系统的操作系统和应用软件进行检测和评估,包括漏洞扫描、系统配置审计等,使用合适的工具和方法进行。
7.数据安全测评:对被测评系统的数据存储和传输进行检测和评估,包括数据备份和恢复、数据加密等,以保证系统的数据安全。
8.报告编写:根据测评的结果和发现,编写详细的测评报告,包括测评的过程、发现的问题、风险评估和整改建议等,以提供给被测评方参考。
三、测评注意事项1.保护被测评系统的安全:在进行测评的过程中,要确保不会对被测评系统造成破坏或干扰,要尽可能减少对正常业务的影响。
信息安全技术网络安全等级保护云计算测评指引
ICS xx.xxxL xx团体标准T/ISEAA XXX-2019信息安全技术网络安全等级保护云计算测评指引Information security technology—Testing and evaluation guideline of cloud computing forclassified production of cybersecurity(征求意见稿)20XX -XX-XX 发布20XX -XX-XX 实施中关村信息安全测评联盟发布目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 概述 (2)5 云计算等级测评实施 (3)6 云计算等级测评问题分析 (7)7 云计算等级测评结论分析 (8)附录A 被测系统基本信息表(样例) (10)附录B 云计算平台服务(样例) (12)前言为配合国家网络安全等级保护制度2.0全面推进,更好的指导等级测评机构在云计算环境下开展等级测评工作,加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性,依据网络安全等级保护2.0相关系列标准,制定网络安全等级保护云计算安全等级测评指引,本指引遵从下列标准规范:—— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求;—— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求;—— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。
本标准由中关村信息安全联盟提出并归口。
本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。
信息安全技术网络安全等级保护测评要求第1部分_安全通用要求_编制说明
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:-—GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求;——GB/TCCCC—CCCC信息安全技术信息系统安全等级保护实施指南;——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。
信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。
2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号)3术语和定义GB/T5271.8、GB17859—1999、GB/TCCCC—CCCC和GB/TDDDD—DDDD确立的以及下列的术语和定义适用于本标准。
金融行业信息系统信息安全等级保护测评指南
与实施指引的关系
《测评指南》阐述了《实施指引》中各要求项的具体测评方法、步骤和判断依据 等,用来评定信息系统的安全保护措施是否符合《实施指引》。 《测评指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等, 规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提 出了指导建议。 二者共同指导等级测评工作。
中间件平台,如Weblogic / Websphere等。
二、等级测评方法及内容介绍—等级测评内容
单元测评——管理
测评对象
人员
安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等
文档
管理文档(策略、制度、规程) 记录类(会议记录、运维记录) 其它类(机房验收证明等)
一、测评指南整体介绍
等级测评与其他测评的不同
目的不同:标准符合性测评
性质不同:《管理办法》强制周期性执行 执行对象不同:已经确定等级的信息系统
内容不同:依据《基本要求》和《测评要求》
结果不同:符合、基本符合、不符合。
测评指南知识要点
一、测评指南整体介绍 二、等级测评方法及内容介绍
是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生 特定的结果,将运行结果与预期的结果进行比对的过程。
二、等级测评方法及内容介绍—等级测评方法
ቤተ መጻሕፍቲ ባይዱ访谈
对象 适用情况 作用
对技术要求,使用‘访谈’ 方法迚行测评的目的是为了了 访谈的对象是人 解信息系统的全局性(包括局 员。典型的访谈 部,但不是细节)、方向/策略 人员包括:信息 性和过程性信息,一般不涉及 安全主管、信息 到具体的实现细节和具体技术 系统安全管理员、措施,在遇到优势证据时,最 系统管理员、网 弱。 络管理员、资产 对管理要求,访谈的内容应 管理员等。 该较为详细和明确。
信息系统安全等级保护定级指南
前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
等级保护测评(第八期)
广东省公安厅关于计算机信息系统安全保护的实施办法 (三) 三
• 第二十二条 我省对测评机构实施备案制度。符 合第二十一条规定的条件,承担第二级以上的计 算机信息系统测评工作的机构应当到省公安厅公 共信息网络安全监察部门备案。 • 第二十五条 第二级以上的计算机信息系统建设 完成后,使用单位应当委托符合规定的测评机构 安全测评合格方可投入使用。测评活动应当接受 公安机关公共评要求
• 第十二条 第二级以上计算机信息系统建设完成后,运营、 第二级以上计算机信息系统建设完成后,运营、 使用单位或者其主管部门应当选择符合国家规定的安全 等级测评机构,依据国家规定的技术标准, 等级测评机构,依据国家规定的技术标准,对计算机信 息系统安全等级状况开展等级测评, 息系统安全等级状况开展等级测评,测评合格后方可投 入使用。 入使用。 • 第十三条 计算机信息系统的运营、使用单位及其主管部 计算机信息系统的运营、 门应当按照国家规定定期对计算机信息系统开展安全等 级测评,并对计算机信息系统安全状况、 级测评,并对计算机信息系统安全状况、安全管理制度 及措施的落实情况进行自查。 及措施的落实情况进行自查。 计算机信息系统安全状况经测评或者自查, 计算机信息系统安全状况经测评或者自查,未达到安全 等级保护要求的,运营、使用单位应当进行整改。 等级保护要求的,运营、使用单位应当进行整改。
第一部分 等级保护测评基础
• (1)国家和广东省对测评机构的法要求回 顾
1.1.1等级测评背景 1.1等级测评背景
当前的信息安全等级保护有关法规
• • • • • • • • • •
《信息安全等级保护管理办法》(公通字[2007]43号) 信息安全等级保护管理办法》 公通字 号 广东省计算机信息系统安全保护条例 广东省公安厅关于计算机信息系统安全保护的实施办法 关于贯彻《广东省计算机信息系统安全保护条例》 关于贯彻《广东省计算机信息系统安全保护条例》和《广东省公安厅关于计算机信息系统 安全保护的实施办法》 广公(网监) 安全保护的实施办法》的通知 广公(网监)[2008]633号 号 《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812号) 关于开展信息安全等级保护测评体系建设试点工作的通知》 公信安 号 关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监) 关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监)[2009]421号) 号 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知( 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安 [2010]303号 ) 号 信息安全等级保护测评工作管理规范(试行 试行) 信息安全等级保护测评工作管理规范 试行 信息安全等级测评机构能力要求(试行) 信息安全等级测评机构能力要求(试行) 等级测评师培训和考试指南
信息安全技术信息系统安全等级保护测评指南
信息安全技术信息系统安全等级保护测评指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全技术信息系统安全等级保护测评指南一、引言在当今信息化社会,信息系统的安全性日益受到重视。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1
目录
• 国家对等级保护测评的要求 • 等级保护测评注意事项 • 等级保护测评要求(部分解读) • 等级保护测评过程 • 等级保护测评中常见问题
2
国家对等级保护测评的要求
《管理办法》”等级保护的实施与管理“第十四条
信息系统建设完成后,运营、使用单位或者其主管部门
应当选择符合本办法规定条件的测评单位,依据《信息 系统安全等级保护测评要求》等技术标准,定期对信息 系统安全等级状况开展等级测评。
给被检查方,请被检查方当前提供并进行查验;
所有需要以检测方式检查的项目,按检测部门或设备分类后,根
据具体情况选择检测顺序。
17
等级保护测评方法(2)
第二十二条 我省对测评机构实施备案制度。符合第二十一条规
定的条件,承担第二级以上的计算机信息系统测评工作的机构应 当到省公安厅公共信息网络安全监察部门备案。
第二十五条 第二级以上的计算机信息系统建设完成后,使用单
位应当委托符合规定的测评机构安全测评合格方可投入使用。测 评活动应当接受公安机关公共信息网络安全监察部门的监督。
等级测评机构,是指具备本规范的基本条件,经能力评估和审
核,由省级以上信息安全等级保护工作协调(领导)小组办公 室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级保护测评的执行主体应当是具有相关资质的、独立的测评
服务机构。
只有独立的第三方,才能保证测评工作的客观性和公正性。
9
等级测评基本原则
供我省信息系统运营、使用单位、主管部门选用提供各类测评服 务(差距评估、验收性测评、年度测评工作)。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五研究所) 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司
7
等级保护测评基本概念
测评机构应当按照有关规定和统一标准提供“客观、公正、
安全”的测评服务,按照统一的测评报告模版出具测评报告。
测评机构可以从事等级测评活动以及信息系统安全等级保护
定、安全建设整改、信息安全等级保护宣传教育等工作的 技术支持。
10
等级测评的特点
管理角度:
强制执行:管理办法强制周期性执行 执行主体:符合条件的测评机构 执行对象:定级的信息系统 服务主体:国家信息安全监管部门/主管部门/运维、使用单位
12
等级保护测评工作开展
系统改建方案设计:由信息系统的运营使用单位自己组织人员或
由第三方评估机构,采用等级测评方法对信息系统安全保护现状 与等级保护基本要求进行符合性评估,得到与相应等级要求的差 距项,确定安全需求,为制定安全改建方案提供依据。是一种需 求分析方法,不受测评执行主体的限制。
等级保护建设完成后的测评,由具有相关资质、独立的第三方测
第三级信息系统应当每年至少进行一次等级测评,第四
级信息系统应当每半年至少进行一次等级测评,第五级 信息系统应当依据特殊安全需求进行等级测评。
3
广东省安全保护条例对测评要求
第十二条 第二级以上计算机信息系统建设完成后,运营、
使用单位或者其主管部门应当选择符合国家规定的安全 等级测评机构,依据国家规定的技术标准,对计算机信 息系统安全等级状况开展等级测评,测评合格后方可投 入使用。
5
广东省信息安全等级测评工作细则(试行)
计算机信息系统投入使用后,存在下列情形之一的,应当进行安
全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件; (二)安全测评时间满一年; (三)发生危害计算机信系统安全的案件或安全事故; (四)公安机关公共信息网络安全监察部门根据应急处置工作的
中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、 设备。测评的层面涉及物理安全、网络安全、主机安全、应用系 统安全、数据安全以及安全管理。 测评要求
使用测评表进行具体检查时,首先按询问、查验、检测等工作方
式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行; 所有以查验方式检查的项目,将需要的文档清单在检查现场提交
技术角度:
符合性测评:依据基本要求 等级化:不同级别测评强度不同
11
等级保护测评适用的阶段
在实施等级保护建设工作前,信息系统运营、使用单位可以开
展一次等级测评以确定信息系统的安全需求。
在等级保护建设完成后,通过等级测评判定信息系统是否按照
预先设定的安全模式运行,安全控制措施是否得到合理的应用, 信息系统是否达到相关标准的要求,是否具备相应等级的安全 防护能力等。
等级测评工作,是指测评机构依据国家信息安全等级
保护制度规定,按照有关管理规范和技术标准,对非 涉及国家秘密信息系统安全等级保护状况进行检测评 估的活动。 通过信息安全等级测评机构对已完成的等级保护建设的信
息系统定期进行等级测评,确保信息系统的安全保护措施 符合相应等级的安全要求。
8
等级保护测评的执行主体
评机构完成。
13
1.2.13测评与监督检查的关系
等级保护测评的操作形式
自评估 委托评估 检查评估
14
1.2.14测评工作要求
依据标准,遵循原则 恰当选取,保证强度 规范行为,减少风险
过程规范 行为规范
15
等级保护测评注意事项
16
等级保护测评方法(1)
测评方法
测评采用访谈、检查和测试三种方法,测评对象是测评实施过程
第十三条 计算机信息系统的运营、使用单位及其主管部
门应当按照国家规定定期对计算机信息系统开展安全等 级测评,并对计算机信息系统安全状况、安全管理制度 及措施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查,未达到安全 等级保护要求的,运营、使用单位应当进行整改。
4
广东省公安厅关于计算机信息系统安全保护的实施办法 (一)
需要认为应当进行安全测评;
(五)其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报告的合法性和真实性存在重大问题的,
可以向本单位所在地公安机关公共信息网络安全监察部门提出申 诉,提交异议申诉书及有关证明材料。
6
广东省等级保护测评机构
关于发布广东省信息安全等级保护测评机构的公告
(粤等保办[2010]3号)