分级保护测评流程
等级保护测评流程
等级保护测评的流程
一、等保测评的具体流程
1、资产梳理
1)物理机房
2)网络设备(交换机)
3)安全设备(防火墙、入侵防御、日志审计、上网行为管理、堡垒机等)
4)服务器与存储设备
5)业务应用系统或平台
6)安全相关人员
2、专家定级
1)邀请专家,确定系统要定等级
2)编制定级报告
需要资料:专家评审意见、聘书
3、备案申请
根据各地市备案条件的要求,整理相关文档,提交给各地市网安支队进行备案,省级单位定级,材料提交到省级网安总队
4、差距分析
根据要定的等级要求,检查目前系统情况与定级要求之间的差距
1)系统漏洞扫描
2)服务器:Windows、Linux
3)网络设备:交换机
4)安全设备:防火墙、入侵检测、日志审计、堡垒机等
5)业务应用系统
6)数据库
7)中间件
5、整改加固
根据差距分析检查结果,让业主联系各个系统的服务商,对各自不符合定级要求的项进行整改加固
6、辅助测评
找第三方测评机构,对系统进行测评,并给出整改要求
需要提前准备测评申请书
7、整改回复
根据测评结果给出的整改要求进行整改,并将整改结果回复给测评机构,测评机构根据整改的情况,给出最终的测评报告
8、备案审核
把测评机构的测评报告(还有前期材料+测评报告打印胶装成册,并
刻录光盘)提交给网安
审核通过,由网安签发备案证明
最终提交给业主资料:测评报告、备案证明
9、监督检查
二、流程图。
等级保护测评方案
等级保护测评方案1. 引言等级保护测评是一种评估系统、网络或应用程序等信息系统的安全性的方法。
该测评方案旨在评估系统的安全性,验证系统的等级保护能力是否达到预期的级别。
本文档将介绍等级保护测评的流程和方法,以及测评结果的报告。
2. 测评流程等级保护测评的流程通常可以分为以下几个步骤:2.1 建立测评目标在开始测评之前,需要明确测评的目标。
这包括确定要评估的系统、网络或应用程序,并明确测评的等级保护级别。
2.2 收集信息在进行测评之前,需要收集与待评估系统相关的信息。
这包括系统架构、技术文档、安全策略和其他相关资料。
2.3 分析系统在收集完相关信息后,需要对待评估系统进行详细的分析。
这包括对系统的架构、安全功能和安全策略进行审查,以确定系统是否符合等级保护的要求。
2.4 进行渗透测试渗透测试是评估系统安全性的重要步骤之一。
通过模拟攻击者的攻击手法和策略,测试系统的弱点和漏洞。
渗透测试可以包括网络扫描、漏洞扫描、密码破解等。
2.5 评估安全控制针对待评估系统的安全控制进行评估,包括访问控制、身份验证、加密算法等。
通过对这些安全控制的评估,确定系统是否具备足够的安全性。
2.6 编写测评报告根据上述步骤的结果,编写测评报告。
报告应包括对系统安全性的评估结果,以及提供改进建议和建议的安全增强措施。
3. 测评方法等级保护测评可以采用多种方法和技术。
以下是常用的几种测评方法:3.1 审查方法审查方法是通过分析系统的设计和文档来评估系统安全性的方法。
这包括对系统架构、安全策略和技术实施细节进行审查,以评估系统的安全性。
3.2 渗透测试方法渗透测试方法是模拟攻击者对系统进行攻击,发现系统的弱点和漏洞的方法。
通过渗透测试可以测试系统的安全性,并发现系统存在的安全风险。
3.3 系统配置审计方法系统配置审计方法是对系统配置进行审计,以发现系统配置上的安全问题。
通过审计系统配置,可以检测系统中存在的不安全配置,并提供安全增强建议。
等级保护测评-完全过程(非常全面)
G:通用安全保护类要求。--技术类中 的安全审计、管理制度等
等级保护测评指标
技术/ 管理
安全类
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护完全实施过程
信息系统定级
等
安全总体规划
级
变
更
安全设计与实施
局 部 调
整 安全运行维护
等级保护测评的几个流程
等级保护测评的几个流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!等级保护测评流程。
1. 准备阶段。
确定测评范围和等级目标。
收集和整理测评依据,如等级保护条例、技术标准和指南。
等级保护测评-完全过程(非常全面)
防静电
温湿度控制
电力供应
电磁防护
物理安全
调研访谈:专人值守、进出记录、申请和审批记录、物理隔离、门禁系统;现场查看:进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。
调研访谈:设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统;现场查看:设备固定和标识、监控报警系统安全材料、测试和验收报告。
等级保护测评指标
测评指标
技术/管理
安全类
安全子类数量
S类(2级)
S类(3级)
A类(2级)
A类(3级)
G类(2级)
G类(3级)
F类(2级)
F类(3级)
要求项
控制点
二级
三级
二级
三级
技术类
物理安全
1
1
1
1
8
29
4
18
10
18
23
47
网络安全
1
1
0
0
5
31
6
7
6
7
24
40
主机安全
2
3
1
1
3
12
0
3
6
3
20
调研访谈:网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备;测评判断:检查网络入侵防范设备,查看检测的攻击行为和安全警告方式。
调研访谈:网络恶意代码防范措施、恶意代码库的更新策略;测评判断:网络设计或验收文档,网络边界对恶意代码采取的措施和防恶意代码产品更新。
调研访谈:两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等;测评判断:用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。
等级保护测评一般流程
等级保护测评流程
一、用户确定信息系统的个数、每个系统的等保级别;
二、填写《系统定级报告》,《系统基础信息调研表》;
三、向省公安厅网监总队提交《系统定级报告》和《系统基础信息调
研表》,获取《信息系统等级保护定级备案证明》,每个系统一份;
四、按所定等级要求进行等保测评检测,如不符合要求,形成整改要
求,由用户按整改要求进行整改;
五、通过等保测评的,由信息安全等级保护测评机构出具的《信息系
统等级保护测评报告》,并将报告提交公安备案。
等级保护分级要求:
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
等级保护是公安部对非涉密信息系统安全管理标准规范。
对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。
具体保护等级由公安部确认。
等级保护测评流程
等级保护测评流程Title: The Process of Level Protection Assessment。
Level protection assessment is a process used to evaluate the level of protection required for a certain information system or data. The process involves several steps that are crucial in determining the appropriate level of protection needed to safeguard the data or system. In this article, we will discuss the steps involved in the level protection assessment process.Step 1: Define the Scope。
The first step in the level protection assessment process is to define the scope of the assessment. This involves identifying the information system or data that needs to be evaluated. The scope should be defined clearly to ensure that the assessment covers all the relevant aspects of the system or data.Step 2: Identify the Threats。
The next step is to identify the potential threats to the information system or data. This involves analyzing the environment in which the system or data operates and identifying the potential threats that could compromise the security of the system or data. Threats can come from various sources, including hackers, malware, viruses, and physical threats.Step 3: Determine the Vulnerabilities。
等级保护测评过程指南
等级保护测评过程指南
等级保护测评过程指南是一份文件,旨在指导进行等级保护测评的步骤和流程。
以下是一份简要的等级保护测评过程指南。
1. 需求分析:明确等级保护测评的目的和目标,确定需要评估的系统和信息资产。
2. 设计测评计划:根据需求分析,制定详细的测评计划,包括测评的时间、地点、人员、工具和方法。
3. 准备工作:准备相关的文档和材料,如系统架构图、安全策略文件等。
与相关人员沟通,确保他们了解测评的目的和计划。
4. 执行测评:根据测评计划,进行实际的测评工作。
这可能涉及到系统的漏洞扫描、网络流量分析、代码审查等。
5. 数据分析:整理和分析测评过程中收集到的数据和结果。
评估系统的安全状况,找出安全漏洞和薄弱环节。
6. 编写测评报告:根据数据分析的结果,撰写详细的测评报告。
报告应包括系统的安全风险评估、建议的改进措施和优化方案。
7. 报告审阅和确认:将测评报告提交给相关人员进行审阅和确认。
确保报告的准确性和完整性。
8. 改进措施的实施:根据测评报告中的建议,实施相关的安全改进措施。
确保系统的安全性能得到提升。
9. 后续跟踪和监控:定期跟踪和监控系统的安全状况,并进行必要的修正和优化。
以上是一个基本的等级保护测评过程指南,具体的步骤和流程可能因组织和系统的不同而有所差异。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.《涉及国家秘密的信息系统分级保护管理办法》国家保密局 国保发【2005】16号
分级保护测评指南
BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》
– 所在单位按照处理信息最高级别分为秘密级<机密级<绝 密级;
– 涉密信息系统测评是依据国家保密标准,从风险管理角度, 分析涉密信息系统所面临的威胁及其存在的脆弱性,提出 有针对性的防护对策和整改措施,为防范和化解涉密信息 系统安全保密风险,为涉密信息系统安全保密提供科学依 据。
系统废止
❖你能保密吗 ?
小故事
No Image
谢谢!
谢谢观赏!
2020/11/5
28
否
≥60分
是
专家召开会议,出测评报告《测评报告》
审查资料
审查资料(实施完毕后)
1.测评申请书 2.申请单位信息 3.系统测评委托书 4.系统基本情况调查表 5.涉密信息系统建设情况 6.防护措施调整情况 7.涉密信息系统物理环境情况 8.综合布线情况 9.涉密信息系统网络、应用系统及技术防护情况 10.系统的安全保密管理情况
2. 专家组听取情况,介绍审阅检测报告,分析测评方法、流 程和结果。
3.给出系统完善意见
测评结论
测评结论
1.国家保密局负责审批中央和国家机关各部委、一级保密资 格单位涉密信息系统。
2.省级(自治区、直辖市)保密局负责审批省直机关,二、 三级保密资格单位涉密信息系统
3.市级保密局负责审批市直机关、县直机关涉密信息系统。
2 分级保护测评适用范围
分保适用系统
测评适用系统
存储、使用或产生涉密信息的计算机网络系统
处理涉密信息的单独计算机不参与测评
分级保护适用单位
测评适用单位
党政机关(法院、检查院、省级政府等)
国防军工(航空、航天、兵器等)
非公有制企业
3 涉密系统建立流程
分级保护测评 涉密系统建立流程
系统定级
2.实施单位必须有涉密集成资质,如无特殊情况选取就近涉 密集成单位。(绝密级信息系统选用甲级资质单位)
2.选择由工程监理单项资质的单位或组织本单位人员进行监 理。 (按照bmb18进行工程监理)
4 分级保护测评流程
分级保护测评
流程图
申报材料
修改材料
资料审查
否
通过?
是
现场考察
否
系统整改
通过?
是
现场测评
分级保护测评流程
目录
1 分级保护相关标准 2 分保测评适用范围 3 涉密系统建立流程 4 分级保护测评流程
分级保护测评
1
分级保护相关标准
分级保护相关标准
分级保护 相关标准
1. BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 2. BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》 3. BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》
返回
现场考察
现场考察
1.重点考察与申请书是否描述一致;
2.简单审查,不合格项提出整改意见,必须先进行整改;
3.本次审查不打分。(一般军工单位会由其上级测评中心来 考察)
返回
现场测评
现场测评
1.由国家保密局授权的测评中心或分中心从专家库中抽调专 家;
2.制定测评方案,根据bmb22附录A、B、C测评表进行分保 测评;
方案设计 方案设计
1.选择有涉密资质的承建单位(涉密甲级、乙级),进行系统风 险评估;
2.根据分保方案指南bmb23、分保要求bmb17和分保管理规范 bmb20进行方案设计;
3.方案交由测评中心方案评审专家进行审查论证。(集中一批次 方案,进行统一审查)
工程实施
工程实施
1.方案通过后,进行项目实施。
信息安全保密
﹡用户身份鉴别 ﹡访问控制粒度
﹡信息输出 ﹡信息存储 ﹡息设备电磁泄漏
发射防护
﹡边界控制 ﹡违规外联监控
管理中止项
测评管理要求终止项
检测结果满分为100分
管理过程 基本管理要求
﹡集成资质单位选择
﹡管理机构 ﹡管理制度 ﹡管理人员
管理要求30分
返回
专家评估
专家评估
1.测评机构组织专家评估会
3.相关分值记录在测评表;为不同安全域进行检测的,每个 安全域有各自测评表。
返回
测评分值
现场测评两大项满分为100分
检测结果满分为100分
技术要求测评70分 管理要求测评30分
技术中止项
测评技术要求终止项
检测结果满分为100分
技术要求70分
基本测评项 ﹡物理隔离
﹡安全保密产品选择 ﹡安全边界防护 ﹡密级标识
方案设计
工程实施
系统定级
党政机关
国防军工 非公有制企业
定级
由单位保密办依据密级范围规定,并由测评机构 监督 由承接军方项目级别、国防军工所设计项目重 要性等方面来定级 一级单位负责总体设计 二级单位负责部分设计 三级单位负责零配件设计 由所承接项目合同规定处理信息级别,依据密级 范围规定,并由测评机构监督
时效性 涉密系统运行时效性
1.涉密系统运行许可没有过期日,只有在系统环境或应用发 生重大改变才需要重过测评。
2.绝密信息系统每年至少进行一次安全保密测评或保密检查
3.秘密机密级信息系统每两年至少一次安全保密测评或保密 检查
分级保护测评
系统定级
方案设计
涉密系统生命周期
工程实施 系统评测
系统审批
日常管理 测评与检查