信息系统等级保护测评工作方案知识分享
信息系统安全等级保护测评服务方案
信息系统安全等级保护测评服务方案(一)建设背景随着医院信息化的快速发展,网络资产正逐渐成为医院日常运营、管理的重要工具和支撑,各种互联网应用如网上挂号、门诊、电子病历等系统越来越多,Web服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难,久而久之,日积月累,产生大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规,为医院信息系统安全带来极大的隐患。
为贯彻落实国家信息安全等级保护制度,进一步完善医院信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高医院系统信息安全防护能力,同时加强对医院信息系统安全的指导和检查工作,特拟请独立、专业的第三方测评机构对医院信息系统进行等级保护测评服务。
(二)项目依据服务单位应依据国家信息系统安全等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:1.GB/T 22239-2019:《信息安全技术网络安全等级保护基本要求》2.GB/T 22240-2020 《信息安全技术网络安全等级保护定级指南》3.GB/T 28448-2019:《信息安全技术网络安全等级保护测评要求》4.GB/T 28449-2018:《信息安全技术网络安全等级保护测评过程指南》5.GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》(三)项目建设必要性《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
(四)项目原则本次信息系统等级保护测评实施方案设计与具体实施应满足以下原则:1.保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究服务单位的责任。
信息安全等保测评方案解读
技术创新,变革未来
一、等级测评概述
等级测评是指是测评机构依据国家信息安全等级保护制度规定, 受有关单位委托,按照有关管理规范和技术标准,对信息系统安 全等级保护状况进行检测评估的活劢。
等级测评工作不同于一般的安全测和风险评估。首先它是依据系 统安全保护等级和该级别系统的基本保护要求。其次要求测评人 员具有把握国家政策,理解和掌握相关的技术。最后等级测评的 结果,是国家信息安全监管部门依法行政管理的技术依据。是信 息系统运营使用进行等级保护整改的基本依据。
测评准备活动
输入 委托测评协议书
主要任务 项目启动
被测系统描述文件、定级报
告、验收报告、安全需求分 析报告、安全总体方案、自 查或上次等级测评报告(如 果有)、信息系统基本情况 调查表、项目计划书
信息收集和分析
各种与被测系统相关的技术 资料
工具和表单准备
输出 项目计划书
填好的信息系统基本情况 调查表格
测评报告的构成
报告摘要 测评项目概述 被测信息系统情况 等级测评范围与方法 单元测评 整体测评 测评结果汇总 风险分析和评价 等级测评结论 安全建设整改建议
测评风险管理
风险规避 ➢ 可能的3大风险 ➢ 风险控制措施
106
风险规避-可能风险1
验证测试对运行系统可能会造成影响: 在现场测评时,需要对设备和系统进行一定的 验证测试工作,可能对系统的运行造成一定的 影响,甚至存在误操作的可能。
107
风险规避-可能风险2
工具测试对运行系统可能会造成影响 在现场测评时,会使用一些技术测试工具进行漏洞测试、 性能测试甚至抗渗透能力测试。测试可能会对系统的负 载造成一定的影响,漏洞测试和渗透测试可能对服务器 和网络通讯造成一定影响甚至伤害 。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
信息系统二级等级保护测评方案
信息系统二级等级保护测评方案一、概述信息系统的安全等级保护是为了确保信息系统的可靠性、保密性和完整性,保护国家利益和社会公共利益,提供信息系统的一般安全保护要求。
信息系统的等级保护分为四个等级:一级为最高等级,四级为最低等级。
本方案主要针对二级等级保护进行测评,确保信息系统的安全等级符合国家和行业标准。
二、测评目标本方案的测评目标是评估信息系统的安全等级符合二级等级保护的要求,包括但不限于以下方面:1.确保信息系统的可靠性,防止未经授权的访问和篡改。
2.确保信息系统的保密性,防止信息泄露和非法获取。
3.确保信息系统的完整性,防止信息被篡改和破坏。
三、测评内容本方案的测评内容包括但不限于以下方面:1.系统硬件和软件的安全性评估,包括服务器、网络设备、操作系统、数据库等的安全配置和漏洞扫描。
2.系统用户的安全性评估,包括用户身份认证和权限控制的测试。
3.系统数据的安全性评估,包括数据加密、备份和恢复的测试。
4.系统应用的安全性评估,包括应用程序的权限控制、输入验证和安全漏洞测试。
5.系统网络的安全性评估,包括防火墙、入侵检测系统和网络监控设备的测试。
6.系统日志的安全性评估,包括日志的生成、存储和分析的测试。
四、测评方法本方案的测评方法包括但不限于以下几个步骤:1.需求分析:与信息系统管理人员和用户沟通,了解系统的安全等级保护要求和测评目标。
2.测评计划:制定详细的测评计划,包括测评的时间、地点、参与人员和测评的具体内容。
3.测评准备:准备必要的测评工具和设备,包括硬件扫描器、软件漏洞扫描器、网络分析仪等。
4.测评执行:根据测评计划,逐项进行测评,对系统硬件、软件、用户、数据、应用、网络和日志进行测试。
5.测评报告:根据测评结果,编写详细的测评报告,包括系统的安全等级评估、存在的安全风险和建议的安全改进措施。
6.结果评审:与信息系统管理人员和用户进行结果评审,确认测评结果和改进措施,并制定改进计划。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案一、背景介绍随着信息技术的不断进步和广泛应用,信息系统的安全性问题日益凸显。
为了保障国家信息安全和网络安全,我国制定了信息系统等级保护测评制度。
信息系统等级保护测评工作方案旨在规范测评工作流程、确保测评准确性和可信度。
二、总体目标本测评工作方案的总体目标是评估信息系统的安全性,并按照国家信息系统等级保护测评标准对系统进行等级划分,形成相应的安全测评报告。
具体目标如下:1. 确定信息系统等级保护测评的范围和要求;2. 制定信息系统等级保护测评的工作流程和方法;3. 提供信息系统等级保护测评的技术指导和评估标准;4. 输出符合国家标准的安全测评报告。
三、测评范围和要求1. 测评范围:本测评工作方案适用于所有需要进行信息系统等级保护测评的单位和组织。
2. 测评要求:信息系统等级保护测评需遵循国家相关法律法规和政策,确保测评过程的合法性、准确性和可追溯性。
四、工作流程和方法1. 需求分析:根据测评对象的特点和需求,明确测评目标和评估要求。
2. 测评准备:制定测评计划,明确测评范围、时间、资源等,并组织准备相关测评资料。
3. 测评实施:按照国家信息系统等级保护测评标准,采用合适的测评方法对系统进行评估,包括红蓝对抗、代码审计、安全隐患扫描等。
4. 数据分析:对测评所得的数据进行分析和整理,形成测评报告。
5. 结果评定:根据测评结果和国家相关标准,对系统进行等级划分和评定。
6. 结果输出:输出符合国家标准的安全测评报告,并进行相关备案。
五、技术指导和评估标准为确保测评的科学性和准确性,本测评工作方案提供了相关技术指导和评估标准,包括但不限于以下内容:1. 信息系统安全性评估指南;2. 信息系统等级保护测评技术细则;3. 信息系统安全风险评估方法与实践。
六、安全测评报告1. 测评报告应包含以下内容:测评对象的基本情况、安全问题的分析和评估结果等。
2. 测评报告需按照国家相关标准进行格式化,确保报告的统一和可读性。
等级保护测评方案
等级保护测评方案1. 引言等级保护测评是一种评估系统、网络或应用程序等信息系统的安全性的方法。
该测评方案旨在评估系统的安全性,验证系统的等级保护能力是否达到预期的级别。
本文档将介绍等级保护测评的流程和方法,以及测评结果的报告。
2. 测评流程等级保护测评的流程通常可以分为以下几个步骤:2.1 建立测评目标在开始测评之前,需要明确测评的目标。
这包括确定要评估的系统、网络或应用程序,并明确测评的等级保护级别。
2.2 收集信息在进行测评之前,需要收集与待评估系统相关的信息。
这包括系统架构、技术文档、安全策略和其他相关资料。
2.3 分析系统在收集完相关信息后,需要对待评估系统进行详细的分析。
这包括对系统的架构、安全功能和安全策略进行审查,以确定系统是否符合等级保护的要求。
2.4 进行渗透测试渗透测试是评估系统安全性的重要步骤之一。
通过模拟攻击者的攻击手法和策略,测试系统的弱点和漏洞。
渗透测试可以包括网络扫描、漏洞扫描、密码破解等。
2.5 评估安全控制针对待评估系统的安全控制进行评估,包括访问控制、身份验证、加密算法等。
通过对这些安全控制的评估,确定系统是否具备足够的安全性。
2.6 编写测评报告根据上述步骤的结果,编写测评报告。
报告应包括对系统安全性的评估结果,以及提供改进建议和建议的安全增强措施。
3. 测评方法等级保护测评可以采用多种方法和技术。
以下是常用的几种测评方法:3.1 审查方法审查方法是通过分析系统的设计和文档来评估系统安全性的方法。
这包括对系统架构、安全策略和技术实施细节进行审查,以评估系统的安全性。
3.2 渗透测试方法渗透测试方法是模拟攻击者对系统进行攻击,发现系统的弱点和漏洞的方法。
通过渗透测试可以测试系统的安全性,并发现系统存在的安全风险。
3.3 系统配置审计方法系统配置审计方法是对系统配置进行审计,以发现系统配置上的安全问题。
通过审计系统配置,可以检测系统中存在的不安全配置,并提供安全增强建议。
等保测试实施方案
等保测试实施方案一、背景介绍。
等保测试是指信息系统等级保护的测试工作,是为了验证信息系统所采取的安全防护措施是否符合国家等级保护要求。
随着信息技术的发展和应用,信息系统的安全性问题日益突出,因此等保测试显得尤为重要。
本文档旨在制定一份等保测试实施方案,以确保信息系统的安全性和稳定性。
二、测试目标。
1. 确保信息系统符合国家等级保护要求,保障信息系统的安全性和可靠性。
2. 发现和解决信息系统中存在的安全漏洞和问题,提高信息系统的防护能力。
3. 评估信息系统的风险状况,为信息系统安全管理提供依据和参考。
三、测试内容。
1. 安全漏洞扫描,对信息系统进行全面的漏洞扫描,包括系统漏洞、网络漏洞、应用漏洞等。
2. 安全策略评估,评估信息系统的安全策略和控制措施,包括访问控制、身份认证、数据加密等。
3. 安全审计,对信息系统的安全日志进行审计,追踪和分析系统的安全事件和行为。
4. 安全风险评估,评估信息系统可能存在的安全风险,包括外部攻击、内部威胁、数据泄露等。
四、测试方法。
1. 技术手段,采用专业的安全测试工具和技术手段,如漏洞扫描工具、安全审计工具等。
2. 测试环境,搭建符合国家等级保护要求的测试环境,确保测试的真实性和有效性。
3. 测试流程,按照测试计划和方案,进行系统化、有序的测试工作,确保全面覆盖测试内容。
五、测试结果分析。
1. 安全漏洞扫描结果,对漏洞扫描结果进行分析和整理,确定存在的安全漏洞和风险等级。
2. 安全策略评估结果,评估安全策略的合理性和有效性,提出改进建议和优化方案。
3. 安全审计结果,分析安全审计日志,发现异常行为和安全事件,及时采取应对措施。
4. 安全风险评估结果,评估安全风险的概率和影响,提出风险防范和控制建议。
六、测试报告。
1. 编制测试报告,根据测试结果,编制详细的测试报告,包括测试过程、结果分析、存在问题和改进建议等内容。
2. 提出改进建议,针对测试发现的安全问题和风险,提出改进建议和优化方案,为信息系统安全管理提供参考。
等级保护测评服务方案
等级保护测评服务方案方案概述:等级保护测评服务是一种为个人或组织提供安全评估和风险管理的服务。
通过对信息系统的评估和测试,可以帮助客户发现潜在的安全漏洞和风险,并提供针对性的改进建议。
本方案将详细介绍等级保护测评服务的流程、方法和收益,并提供具体的操作方案。
一、服务流程:1. 前期准备:与客户确定评估范围和目标,确定测评方式和时间。
2. 信息收集:对目标系统进行调研和信息收集,包括系统架构、配置情况、漏洞信息等。
3. 风险评估:根据信息收集结果,对系统的安全风险进行评估,分析系统的脆弱点和可能的攻击路径。
4. 漏洞扫描:使用现有的漏洞扫描工具对系统进行扫描,发现可能存在的漏洞。
5. 安全测试:根据评估目标和范围,进行安全测试,包括黑盒测试、白盒测试等。
6. 报告编写:整理评估和测试结果,撰写详细的测评报告,包括发现的漏洞和建议的改进措施。
7. 反馈和改进:与客户分享测评结果,提供风险治理和改进建议,共同制定安全改进计划。
二、服务方法:1. 基础测评:对系统进行基本的安全扫描和测试,主要检测常见的安全漏洞,如弱口令、未授权访问、SQL注入等。
2. 高级测评:除了基本的扫描和测试外,还进行更深入的安全测试,如手工渗透测试、社会工程学测试等,以发现更隐蔽的漏洞。
3. 应用测评:针对具体的应用系统进行测试,检测应用程序中可能存在的安全风险,如文件上传漏洞、跨站脚本攻击等。
4. 数据保护测评:对客户的数据存储和传输进行评估,检测数据加密、访问控制等措施的有效性。
5. 网络安全测评:对网络设备和拓扑进行评估,发现网络架构和配置中可能存在的风险。
三、收益和优势:1. 发现潜在的安全威胁和漏洞,减少安全事故的风险。
2. 提供针对性的改进建议和解决方案,帮助客户改进安全防护措施。
3. 增强客户对系统安全的了解和掌控,提升整体的安全意识和能力。
4. 提供全面的安全评估,包括系统、应用、网络和数据等多个方面。
5. 依据国内外安全标准和最佳实践进行评估,保证评估结果的可信度和权威性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX安全服务公司2018-2019年XXX项目等级保护差距测评实施方案XXXXXXXXX信息安全有限公司201X年X月目录目录 (1)1.项目概述 (2)1.1.项目背景 (2)1.2.项目目标 (2)1.3.项目原则 (2)1.4.项目依据 (3)2.测评实施内容 (3)2.1.测评分析 (4)2.1.1.测评范围 (4)2.1.2.测评对象 (4)2.1.3.测评内容 (4)2.1.4.测评对象 (7)2.1.5.测评指标 (8)2.2.测评流程 (9)2.2.1.测评准备阶段 (10)2.2.2.方案编制阶段 (11)2.2.3.现场测评阶段 (11)2.2.4.分析与报告编制阶段 (13)2.3.测评方法 (13)2.3.1.工具测试 (13)2.3.2.配置检查 (14)2.3.3.人员访谈 (14)2.3.4.文档审查 (15)2.3.5.实地查看 (15)2.4.测评工具 (16)2.5.输出文档 (17)2.5.1.等级保护测评差距报告...................... 错误!未定义书签。
2.5.2.等级测评报告.............................. 错误!未定义书签。
2.5.3.安全整改建议.............................. 错误!未定义书签。
3.时间安排 (17)4.人员安排 (18)4.1.组织结构及分工 (18)4.2.人员配置表 (19)4.3.工作配合 (20)5.其他相关事项 (21)5.1.风险规避 (21)5.2.项目信息管理 (23)5.2.1.保密责任法律保证 (23)5.2.2.现场安全保密管理 (23)5.2.3.文档安全保密管理 (24)5.2.4.离场安全保密管理 (24)5.2.5.其他情况说明 (24)1.项目概述1.1.项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求,对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。
(安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全保障与运维能力。
全面完成XXXXXXXXXXXXXXXXXXX现有六个信息系统的信息安全测评与评估工作和协助整改工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家和XXXXXXXXXXXXXXXXXXX的有关要求,对XXXXXXXXXXXXXXXXXXX的网络架构进行业务影响分析及网络安全管理工作进行梳理,提高XXXXXXXXXXXXXXXXXXX整个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建XXXXXXXXXXXXXXXXXXX信息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足XXXXXXXXXXXXXXXXXXX提出的基本要求,及时提供咨询等服务。
1.3.项目原则项目的方案设计与实施应满足以下原则:✧符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。
✧标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
✧规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
✧可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
✧整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
✧最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
✧保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:✧《计算机信息系统安全保护等级划分准则》- GB17859-1999✧《信息安全技术信息系统安全等级保护实施指南》✧《信息安全技术信息系统安全等级保护测评要求》✧《信息安全等级保护管理办法》✧《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)✧《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)✧《计算机信息系统安全保护等级划分准则》(GB17859-1999)✧《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)✧《信息安全技术网络基础安全技术要求》(GB/T20270-2006)✧《信息安全技术操作系统安全技术要求》(GB/T20272-2006)✧《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)✧《信息安全技术服务器技术要求》(GB/T21028-2007)✧《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)✧《信息安全风险评估规范》(GB/T 20984-2007)2.测评实施内容2.1.测评分析2.1.1.测评范围本项目范围为对XXXXXXXXXXXXXXXXXXX已定级信息系统的等级保护测评。
2.1.2.测评对象本次测评对象为XXXXXXXXXXXXXXXXXXX信息系统,具体如下:本次测评结合XXXXXXXXXXXXXXXXXXX系统的信息管理特点,进行不同层次的测评工作,如下表所示:2.1.4.测评内容本项目主要分为两步开展实施。
第一步,对XXXXXXXXXXXXXXXXXXX六个信息系统进行定级和备案工作。
第二步,对XXXXXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和验收测评。
差距测评主要针对XXXXXXXXXXXXXXXXXXX已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。
最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXXXXX已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
具体见下图:系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。
在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。
2.1.5.测评对象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。
测评对象种类主要考虑以下几个方面:1.整体网络拓扑结构;2.机房环境、配套设施;3.网络设备:包括路由器、核心交换机、汇聚层交换机等;4.安全设备:包括防火墙、IDS/IPS、防病毒网关等;5.主机系统(包括操作系统和数据库系统);6.业务应用系统;7.重要管理终端(针对三级以上系统);8.安全管理员、网络管理员、系统管理员、业务管理员;9.涉及到系统安全的所有管理制度和记录。
根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。
2.1.6.测评指标对于二级系统,如业务信息安全等级为S2,系统服务安全等级为A2,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的2级通用指标类(G2),2级业务信息安全指标类(S2),2级系统服务安全指标类(A2),以及第2级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类,等级保护测评指标情况具体如下表所示:2.2.测评流程等级保护测评实施过程包括以下四个阶段:2.2.1.测评准备阶段✧ 测评项目组组建:明确项目经理、测评人员及职责分工。