等级保护和等级测评简介
关于对我国信息安全等级保护制度中等级测评的认识
《 信息 系统 安全 等级 保 护 测评要 求 》 ( 简称 《 测
评要求 》 )和 《 信息系统安全 等级保护测评过程指
南 》是 开 展等 级 测评 工 作 主要 依据 的 技术 标 准 , 《 测 评 要 求 》与 《 基本 要 求 》相 对 应 , 《 测评 要 求 》将 等
级 测评 分 为 单元 测评 和 整体 测 评 两部 分 ,在 保证 相应
经验 和方 法 ,保 障全 国重要 信 息 系统等 级保 护安 全建 设 工作顺 利开 展 。经 过试 点各 参 与单位 的精 心 组织 和
测评 的深 度 越深 ,越需 要 在细 节 上展 开 ,测 评就 越 严 格。
4 具 有统 一的报告 格式 。 。
够对抗相应等级的安全威胁。
2 测 评 流 程
等级 测评 流程 主 要分 为 四个 活动 和阶 段 :测评 准
等 级 测评 结果 是信 息 系统 安全 整改 建 设 中安全 需
成 后 ,还应 当回 归到 系统 安全 保 护 能 力的 高度 进行 综
依据。因此等级测评活动是一项政策性和技术专业化
相结合 的安 全服务 。
3 具 有 等 级 化 的 特 点 .
等级 测评 的等 级 化特 点主 要体 现 在两 个方 面 ,一
合 分 析 和 评 价 。 尤 其 是 在 单 项 测 评 中 发 现 的 不 符 合 项 ,需 要一 个 结合 系统 特 点 进行 整体 分 析 的过 程 。评 价 信 息 系统 的 整体 安全 保 护 能 力有没 有 缺 失 , 否 能 是
二 、 等 级 测 评 的 特 点
等级 测评 不 同于 一般 的安全 检 测和 风险 评估 ,具 有其 自身 的特点 ,主要 表现 在 以下几个 方面 :
等保测评75分及格
等保测评75分及格
等保测评是指信息系统安全等级保护测评,根据国家相关规定,信息系统需要进行等级保护测评,以评定其安全等级。
一般来说,
等保测评的分数是根据系统在安全管理、安全技术、安全运维等方
面的表现来评定的。
一般情况下,等保测评的及格分数是根据具体
的等保标准和要求来确定的。
在中国,根据《信息系统安全等级保护基本要求》(GB/T 22239-2008)的规定,信息系统的保护等级分为1-5级,其中5级
为最高等级。
对于不同的等级,及格的分数标准也会有所不同。
一
般来说,及格的分数是根据系统在各项指标上的得分情况来综合评
定的。
在等保测评中,通常会对系统的安全管理制度、安全技术措施、安全运维能力等方面进行评估,以及系统在面对各种安全威胁时的
应对能力等。
只有在这些方面表现良好,系统才能获得较高的测评
分数,从而达到及格线以上的成绩。
因此,要想在等保测评中获得75分及格,需要系统在各个方面
都表现出较好的安全保护能力。
这包括建立完善的安全管理制度,
采用有效的安全技术措施,具备良好的安全运维能力,以及对各种安全威胁有有效的防范和应对能力等。
只有在这些方面全面发挥,系统才能获得较高的测评分数,最终达到及格线以上的成绩。
信息安全等级保护测评工作介绍
信息安全等级保护测评工作介绍信息安全等级保护测评工作是为了评估和检测组织内部信息系统的安全性而进行的一项工作。
在当前数字化时代,随着信息技术的快速发展和全球化互联网的普及,组织面临的信息安全风险日益增加,因此,进行信息安全等级保护测评工作对于保护组织的核心信息资产和防范安全威胁具有重要意义。
首先,信息安全等级保护测评旨在为组织提供一个全面的安全评估,以识别和评估信息系统存在的潜在安全风险。
通过对组织内部信息系统的安全性进行定量评估,可以帮助组织确定其信息系统的安全等级,并借此制定相应的保护策略和安全措施,加强信息安全工作。
在进行信息安全等级保护测评工作时,通常采用一系列的测评方法和技术,包括:风险评估、安全漏洞扫描、安全策略审查、网络和系统安全配置审计等。
这些测评方法和技术可以帮助测评人员识别并评估信息系统中的安全弱点和安全漏洞,以便制定相应的修复措施和改进计划。
另外,信息安全等级保护测评工作还关注数据和信息的保密性、完整性和可用性。
测评人员会对组织内部的数据保护措施进行评估,包括加密算法的使用、访问控制的实施、备份和恢复机制等等。
这些评估可以帮助组织确保其核心数据和信息不会被未经授权的访问、篡改或破坏。
最后,信息安全等级保护测评工作具有周期性和持续性。
信息系统的安全性是一个动态的过程,随着威胁和技术的变化而不断发展,因此,定期进行测评工作可以及时发现和纠正安全问题,确保组织持续的信息安全。
总之,信息安全等级保护测评工作对于组织来说至关重要。
通过对信息系统的安全性进行评估,可以帮助组织了解其安全水平和存在的风险,从而制定相应的保护策略和安全措施,保障组织的核心信息资产和业务的安全。
这不仅可以减少潜在的经济损失,还能维护组织的声誉和信誉。
信息安全等级保护测评工作是为了评估和检测组织内部信息系统的安全性而进行的一项工作。
在当前数字化时代,随着信息技术的快速发展和全球化互联网的普及,组织面临的信息安全风险日益增加,因此,进行信息安全等级保护测评工作对于保护组织的核心信息资产和防范安全威胁具有重要意义。
网络安全等级保护详细全面介绍
电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息 服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、 公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、 教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系 统。
2.2 为什么需要对信息系统进行等级测评
• 公安部/发改委
• 关于加强国家电子政务工程建设项目信息安全风险评估工作的 通知(发改高技[2008] 2071号):
• 项目建设单位向审批部门提出项目竣工验收申请时,应提交非涉密信息系统 安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估 报告等。
– 操作系统, 如Windows / Linux系列 / 类UNIX系列 / IBM Z/os /Unisys MCP等
– 数据库管理系统,如DB2 / Oracle / Sybase / MS SQL Server等 – 中间件平台,如Weblogic / Tuxedo / Websphere等
2.5.3 等级测评工作流程-现场测评
• 行业要求
在金融、电力、广电、医疗、 教育、交通等行业,主管单位 明确要求从业机构的信息系统 要开展等级保护工作。
• 企业系统安全的需求
信息系统运营、使用单位通过开 展等级保护工作可以发现系统内 部的安全隐患与不足之处,可通 过安全整改提升系统的安全防护 能力,降低被攻击的风险。
1.3 网络安全等级保护对象范围
网络安全等级保护详细全面介绍
时代新威 等级保护组
等级保护测评概述
等级保护测评概述等级保护测评概述等级保护测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运⽤科学的⼿段和⽅法,对处理特定应⽤的信息系统,采⽤安全技术测评和安全管理测评⽅式,对保护状况进⾏检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满⾜所定安全等级的结论,针对安全不符合项提出安全整改建议。
科学的⼿段和⽅法等级保护测评采⽤6种⽅式,逐步深化的测试⼿段· 调研访谈(业务、资产、安全技术和安全管理);· 查看资料(管理制度、安全策略);· 现场观察(物理环境、物理部署);· 查看配置(主机、⽹络、安全设备);· 技术测试(漏洞扫描);· 评价(安全测评、符合性评价)。
安全技术测评:安全技术测评包括:物理安全、⽹络安全、主机安全、应⽤安全、数据安全。
安全管理测评:安全管理测评包括:安全管理制度、安全管理机构、⼈员安全管理、系统建设管理、系统运维管理。
信息系统全⽣命周期信息系统全⽣命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运⾏维护、信息系统终⽌”等五个阶段。
信息系统定级定级备案是信息安全等级保护的⾸要环节。
信息系统定级⼯作应按照“⾃主定级、专家评审、主管部门审批、公安机关审核”的原则进⾏。
在等级保护⼯作中,信息系统运营使⽤单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展⼯作,并接受信息安全监管部门对开展等级保护⼯作的监管。
总体安全规划总体安全规划阶段的⽬标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满⾜等级保护要求的总体安全⽅案,并制定出安全实施计划,以指导后续的信息系统安全建设⼯程实施。
对于已运营(运⾏)的信息系统,需求分析应当⾸先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
等级保护测评-完全过程(非常全面)
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级
等
安全总体规划
级
变
更
安全设计与实施
局 部 调
整 安全运行维护
等级保护、风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。
幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。
好文章不敢独享,特在此和大家一起分享。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
[课件]等级保护测评介绍PPT
![[课件]等级保护测评介绍PPT](https://img.taocdn.com/s3/m/8e8c15113968011ca30091e5.png)
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运 行和业务的正常提供 产生显著影响,尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14
等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动; 2.人员保密,公司内部签 整体性原则 订保密协议; 3.在测评过程中对测评数 最小影响原则 据严格保密。
5
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是开展信息安全工作的基本方法。 是促进信息化、维护国家信息安全的根本
保障。
等级保护和等级测评简介
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。
第三级信息系统:经过安全建设整改工作,信息系统在统一的 安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗 较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害 的能力;具有检测、发现、报警、记录入侵行为的能力;具有 对安全事件进行响应处置,并能够追踪安全责任的能力;在系 统遭到损害后,具有能够较快恢复正常运行状态的能力;对于 服务保障性要求高的系统,应能立即恢复正常运行状态;具有 对系统资源、用户、安全机制等进行集中控管的能力。
等级保护和等级测评简介
等级保护工作主要内容
信息系统分等级进行安全保护和监管。
系统定级 备案 安全建设整改 等级测评 监督检查
信息安全产品分等级使用和管理。 信息安全事件分等级响应和处置。
等级保护和等级测评简介
等保工作中各部门的职责和义务
职能部门:制定管理规范和技术标准,组 织实施,开展监督、检查、指导。
等级测评流程
四个阶段:
准备阶段 方案编制阶段 现场测评阶段 报告编制阶段
等级保护和等级测评简介
准备阶段
等级保护和等级测评简介
方案编制阶段
等级保护和等级测评简介
现场测评阶段
等级保护和等级测评简介
报告编制阶段
等级保护和等级测评简介
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级保护和等级测评简介
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
等级保护和等级测评简介
安全建设整改
第二级信息系统:经过安全建设整改工作,信息系统具有抵御 小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能 力,防范一般性计算机病毒和恶意代码危害的能力;具有检测 常见的攻击行为,并对安全事件进行记录的能力;系统遭到损 害后,具有恢复系统正常运行状态的能力。
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
等级保护和等级测评简介
国家对等级保护制度的要求
《中华人民共和国计算机信息系统安全保护条 例》(国务院147号令) 中明确指出:
“计算机信息系统实行安全等级保护,安全等级的 划分标准和安全等级保护的具体办法,由公安部会 同有关部门制定。”
行业主管部门:监督、检查和指导本行业 开展等保工作。
经营使用单位:开展系统定级、备案、建 设整改、等级测评和自查等工作,落实制 度各项要求。
安全服务机构:开展技术支持、服务等工 作,接受监管部门监督管理。
等级保护和等级测评简介
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
等级保护和等级测评简介
等级保护和等级测评简介
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
等级保护和等级测评简介
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
等级保护和等级测评简介
等级保护和等级测评简介
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
等级保护和等级测评简介
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
具体参照《关于开展全国重要信息系统安全等 级保护定级工作的通知》(公通字[2007]861号)
参考标准:
《定级指南》
定级流程:
确定对象、确定安全保护等级、专家评审、主 管部门审批、公安机关审核。
等级保护和等级测评简介
分级保护:
等级保护和等级测评简介
损害程度的解释
一般损害:是指对客体造成一定损害和影 响,经采取恢复或弥补措施,可消除部分 影响。
严重损害:是指对客体造成严重损害,经 采取恢复或弥补措施,仍产生较大影响。
造成特别严重损害:是指对客体造成特别 严重损害,后果特别严重,影响重大且无 法弥补。
等级保护和等级测评简介
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
等级保护和等级测评简介
信息系统备案
第二级以上信息系统,由信息系统运营使 用单位到所在地设区的市级以上公安机关 网络安全保卫部门办理备案手续,填写 《信息系统安全等级保护备案表》。
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
等级保护和等级测评简介
测评方法
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
等级保护和等级测评简介
信息系统定级
从信息系统对国家安全、经济建设、公共 利益等方面的重要性,以及信息系统被破 坏后造成危害的严重性角度对信息系统确 定的等级:重要性定级。
等级保护和等级测评简介
信息系统定级
定级原则:
自主定级、专家评审、主管部门审批、公安机 关审核。
《国家信息化领导小组关于加强信息安全保障 工作的意见》(中公办发[2003]27号)规定:
“要重点保护基础信息网络和关系国家安全、经济 命脉、社会稳定等方面的重要信息系统,抓紧建立 信息安全等级保护制度,制定信息安全等级保护的 管理办法和技术指南。”
等级保护和等级测评简介
等级保护制度的地位和作用