信息安全等级保护项目测评方案(DOC 181页)
信息安全等级保护测评
信息安全等级保护测评首先,信息安全等级保护测评是指对信息系统的安全等级进行评估和测定的过程。
它通过对信息系统的安全性能、安全技术和安全管理三个方面进行全面评估,从而为信息系统的安全等级提供客观、科学的评价依据。
信息安全等级保护测评的意义在于帮助企业和个人全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
其次,信息安全等级保护测评的目标是确保信息系统的安全等级符合国家和行业标准要求,保障信息系统的安全性能和安全可靠性。
通过信息安全等级保护测评,可以为信息系统的安全管理提供科学的依据,为信息系统的安全加固提供技术支持,为信息系统的安全运行提供保障。
针对信息安全等级保护测评的方法,主要包括安全等级保护测评的准备工作、安全等级保护测评的实施和安全等级保护测评的报告编制。
在准备工作阶段,需要明确测评的目标和范围,收集相关信息和资料,组织测评工作组等。
在实施阶段,需要进行安全性能测试、安全技术测试和安全管理测试等,全面评估信息系统的安全等级。
在报告编制阶段,需要对测评结果进行分析和总结,提出改进建议和措施,编制测评报告并提交相关部门。
最后,信息安全等级保护测评的应用范围涵盖了政府机关、企事业单位、金融机构、电信运营商等各个领域。
在信息化建设和信息系统运行中,都需要进行信息安全等级保护测评,以确保信息系统的安全等级达到国家和行业标准要求,保障信息资产的安全。
综上所述,信息安全等级保护测评是信息安全管理中不可或缺的重要环节,它对于评估和提升信息系统的安全等级具有重要意义。
通过科学、客观的测评方法,可以全面了解信息系统的安全状况,及时发现安全隐患,采取有效措施加强安全防护,保障信息资产的安全。
在今后的信息化社会中,我们需要不断加强对信息安全等级保护测评的研究和实践,以应对日益严峻的信息安全挑战。
信息安全等级保护项目测评方案
信息平安等级保护测评工程测评方案广州华南信息平安测评中心二〇一六年目录第一章概述 (3)第二章测评根本原那么 (4)一、客观性和公正性原那么 (4)二、经济性和可重用性原那么 (4)三、可重复性和可再现性原那么 (4)四、结果完善性原那么 (4)第三章测评平安目标〔2级〕 (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章工程实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统平安性技术检查工具 (13)2.3 测评工具使用原那么 (13)三、测评方法 (14)第六章工程管理 (15)一、工程组织方案 (15)二、工程成员组成与职责划分 (15)三、工程沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准那么 (19)一、信息系统平安等级保护 2 级测评准那么 (19)1.1 根本要求 (19)1.2 评估测评准那么 (31)二、信息系统平安等级保护 3 级测评准那么 (88)根本要求 (88)评估测评准那么 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27 号〕以及 2004 年 9 月四部委局联合签发的?关于信息平安等级保护工作的实施意见?等信息平安等级保护的文件明确指出,“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息平安等级保护制度,制定信息平安等级保护的管理方法和技术指南。
〞2021 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文?广东省深化信息平安等级保护工作方案?(粤公通字[2021]45 号)中又再次指出,“通过深化信息平安等级保护,全面推动重要信息系统平安整改和测评工作,增强信息系统平安保护的整体性、针对性和实效性,使信息系统平安建设更加突出重点、统一标准、科学合理,提高信息平安保障能力,维护国家平安、社会稳定和公共利益,保障和促进信息化建设〞。
等级保护测评工作方案
等级保护测评工作方案一、项目背景随着信息化时代的到来,网络安全问题日益突出,我国政府高度重视网络安全工作,明确规定了对重要信息系统实施等级保护制度。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
二、测评目的1.评估系统当前安全状况,发现潜在安全隐患。
2.确定系统安全等级,为后续安全防护措施提供依据。
3.提高系统管理员和用户的安全意识。
三、测评范围本次测评范围包括某重要信息系统的硬件、软件、网络、数据、管理制度等方面。
四、测评方法1.文档审查:收集系统相关文档,包括设计方案、安全策略、操作手册等,审查其是否符合等级保护要求。
2.现场检查:对系统硬件、软件、网络等实体进行检查,验证其安全性能。
3.问卷调查:针对系统管理员和用户,了解他们对系统安全的认知和操作习惯。
4.实验室测试:利用专业工具对系统进行渗透测试,发现安全漏洞。
五、测评流程1.测评准备:成立测评小组,明确测评任务、人员分工、时间安排等。
2.文档审查:收集并审查系统相关文档。
3.现场检查:对系统实体进行检查。
4.问卷调查:开展问卷调查,收集系统管理员和用户意见。
5.实验室测试:进行渗透测试,发现安全漏洞。
6.数据分析:整理测评数据,分析系统安全状况。
六、测评结果处理1.对测评中发现的安全隐患,制定整改措施,督促系统管理员和用户整改。
2.对测评结果进行通报,提高系统安全防护意识。
3.根据测评结果,调整系统安全策略,提高系统安全等级。
七、测评保障1.人员保障:确保测评小组具备专业能力,保障测评工作的顺利进行。
2.设备保障:提供必要的硬件、软件设备,支持测评工作。
3.时间保障:合理规划测评时间,确保测评工作按时完成。
八、测评风险1.测评过程中可能对系统正常运行产生影响,需提前做好风险评估和应对措施。
2.测评结果可能存在局限性,需结合实际情况进行分析。
本次等级保护测评工作旨在确保我国某重要信息系统安全稳定运行,提高系统安全防护能力。
等级保护测评项目测评方案
数据安全及备份恢复
数据加密
应对敏感数据进行加密存储和传输,确保数据在传输过程中的安 全性。
数据备份
应定期备份重要数据,包括数据库、文件等,以防止数据丢失和损 坏。
数据恢复
应具备快速恢复数据的能力,确保在发生故障或攻击时能够及时恢 复数据。
CHAPTER 05
测评工具和技术
测评工具介绍
工具名称: 等级保护测评工具
可度量性:该技术可以为每个评估项目提供具体的数值 ,方便进行比较和分析。
CHAPTER 06
总结与展望
项目总结
测评范围
明确测评的范围和内容,包括被测评单位的基本情况、测评的时 间和地点等。
测评方法
采用了多种方法和技术进行测评,包括问卷调查、实地考察、数据 分析和专家评估等。
测评结果
根据测评数据和信息,对被测评单位的等级保护工作进行了综合评 估,并给出了相应的等级和建议。
等级保护测评项目测评 方案
汇报人:
2023-12-01
CONTENTS 目录
• 项目背景 • 测评方案 • 测评流程 • 测评标准 • 测评工具和技术 • 总结与展望
CHAPTER 01
项目背景
测评目标
确定信息系统安全等 级保护符合度
指导安全防护措施的 优化和升级
发现信息系统安全隐 患和薄弱环节
现场勘查
勘查受测单位网络拓扑结构
核实网络设备的型号、配置参数、连接关系等信息。
勘查受测单位主机设备
核实操作系统、应用程序、数据库、中间件等信息。
勘查受测单位安全设施
包括视频监控、门禁系统、入侵检测系统等安全设施。
数据处理
01
数据清洗
去除重复数据、错误数据等无用数 据。
信息系统等级保护测评工作方案
信息系统等级保护测评工作方案一、背景介绍随着信息技术的不断进步和广泛应用,信息系统的安全性问题日益凸显。
为了保障国家信息安全和网络安全,我国制定了信息系统等级保护测评制度。
信息系统等级保护测评工作方案旨在规范测评工作流程、确保测评准确性和可信度。
二、总体目标本测评工作方案的总体目标是评估信息系统的安全性,并按照国家信息系统等级保护测评标准对系统进行等级划分,形成相应的安全测评报告。
具体目标如下:1. 确定信息系统等级保护测评的范围和要求;2. 制定信息系统等级保护测评的工作流程和方法;3. 提供信息系统等级保护测评的技术指导和评估标准;4. 输出符合国家标准的安全测评报告。
三、测评范围和要求1. 测评范围:本测评工作方案适用于所有需要进行信息系统等级保护测评的单位和组织。
2. 测评要求:信息系统等级保护测评需遵循国家相关法律法规和政策,确保测评过程的合法性、准确性和可追溯性。
四、工作流程和方法1. 需求分析:根据测评对象的特点和需求,明确测评目标和评估要求。
2. 测评准备:制定测评计划,明确测评范围、时间、资源等,并组织准备相关测评资料。
3. 测评实施:按照国家信息系统等级保护测评标准,采用合适的测评方法对系统进行评估,包括红蓝对抗、代码审计、安全隐患扫描等。
4. 数据分析:对测评所得的数据进行分析和整理,形成测评报告。
5. 结果评定:根据测评结果和国家相关标准,对系统进行等级划分和评定。
6. 结果输出:输出符合国家标准的安全测评报告,并进行相关备案。
五、技术指导和评估标准为确保测评的科学性和准确性,本测评工作方案提供了相关技术指导和评估标准,包括但不限于以下内容:1. 信息系统安全性评估指南;2. 信息系统等级保护测评技术细则;3. 信息系统安全风险评估方法与实践。
六、安全测评报告1. 测评报告应包含以下内容:测评对象的基本情况、安全问题的分析和评估结果等。
2. 测评报告需按照国家相关标准进行格式化,确保报告的统一和可读性。
等级保护测评方案
等级保护测评方案1. 引言等级保护测评是一种评估系统、网络或应用程序等信息系统的安全性的方法。
该测评方案旨在评估系统的安全性,验证系统的等级保护能力是否达到预期的级别。
本文档将介绍等级保护测评的流程和方法,以及测评结果的报告。
2. 测评流程等级保护测评的流程通常可以分为以下几个步骤:2.1 建立测评目标在开始测评之前,需要明确测评的目标。
这包括确定要评估的系统、网络或应用程序,并明确测评的等级保护级别。
2.2 收集信息在进行测评之前,需要收集与待评估系统相关的信息。
这包括系统架构、技术文档、安全策略和其他相关资料。
2.3 分析系统在收集完相关信息后,需要对待评估系统进行详细的分析。
这包括对系统的架构、安全功能和安全策略进行审查,以确定系统是否符合等级保护的要求。
2.4 进行渗透测试渗透测试是评估系统安全性的重要步骤之一。
通过模拟攻击者的攻击手法和策略,测试系统的弱点和漏洞。
渗透测试可以包括网络扫描、漏洞扫描、密码破解等。
2.5 评估安全控制针对待评估系统的安全控制进行评估,包括访问控制、身份验证、加密算法等。
通过对这些安全控制的评估,确定系统是否具备足够的安全性。
2.6 编写测评报告根据上述步骤的结果,编写测评报告。
报告应包括对系统安全性的评估结果,以及提供改进建议和建议的安全增强措施。
3. 测评方法等级保护测评可以采用多种方法和技术。
以下是常用的几种测评方法:3.1 审查方法审查方法是通过分析系统的设计和文档来评估系统安全性的方法。
这包括对系统架构、安全策略和技术实施细节进行审查,以评估系统的安全性。
3.2 渗透测试方法渗透测试方法是模拟攻击者对系统进行攻击,发现系统的弱点和漏洞的方法。
通过渗透测试可以测试系统的安全性,并发现系统存在的安全风险。
3.3 系统配置审计方法系统配置审计方法是对系统配置进行审计,以发现系统配置上的安全问题。
通过审计系统配置,可以检测系统中存在的不安全配置,并提供安全增强建议。
等级保护测评方案
等级保护测评方案目录1.测评概述 (1)1.1.测评标准 (1)1.2.测评目的 (1)1.3.测评原则 (1)1.4.风险和规避 (2)2.测评手段 (3)2.1.测评方法 (3)2.2.测评工具 (4)3.测评内容 (4)3.1.单元测评实施 (4)3.1.1.物理安全 (4)3.1.2.网络安全 (5)3.1.3.主机数据库系统安全 (6)3.1.4.应用安全 (6)3.1.5.数据安全 (7)3.1.6.安全管理机构 (7)3.1.7.安全管理制度 (8)3.1.8.人员安全管理 (8)3.1.9.系统建设管理 (8)3.1.10.系统运维管理 (9)3.2.系统测评实施 (11)3.2.1.安全控制间安全测评 (11)3.2.2.层面间安全测评 (12)3.2.3.区域间安全测评 (12)3.2.4.系统结构安全测评 (12)4.测评工作流程 (13)4.1.工作流程综述 (13)4.2.测评准备阶段 (14)4.2.1.项目启动 (14)4.2.2.信息收集和分析 (15)4.2.3.编制测评方案 (15)4.2.4.工具和文档准备 (16)4.3.现场实施阶段 (16)4.3.1.方案确认和资源协调 (16)4.3.2.现场测评和结果记录 (17)4.4.分析与报告编制阶段 (17)4.4.1.分析测评结果 (17)4.4.2.形成等级测评结论 (18)4.4.3.编制测评报告 (18)5.测评计划 (19)1.测评概述本测评的委托单位是宜保通金融服务集团。
根据《广东省计算机信息统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》[粤公通字〔2008〕228号]的要求,以及双方签订的等级测评服务合同,我方参照信息安全等级保护技术标准,对合同约定的被测系统实施等级测评。
1.1.测评标准⏹《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008);⏹《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012);⏹《信息系统安全等级保护实施指南》(GB/T 25058-2010);⏹《计算机信息系统安全保护等级划分准则》(GB 17859-1999)⏹《信息系统等级保护等级定级指南》(GB/T 22240-2008);⏹《信息安全技术信息安全风险评估规范》(GB/T 20984-2007);。
信息安全等级保护测评技术规格书
信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。
与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。
作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。
为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。
欢迎国内具有独立承担民事责任的企业, 具备相关资格(具备信息安全等级保护测评资质)条件的供应商参加。
二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。
定级系统: (二级)①公司OA办公系统;②物流系统;③采购系统;④质量中心系统;⑤炼铁部-工业网络系统;⑥铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。
项目实施内容:1.安全检查(1)信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析;(2)信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。
2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括:对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
第二章测评基本原则一、客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
二、经济性和可重用性原则基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。
所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
三、可重复性和可再现性原则不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。
可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
四、结果完善性原则测评所产生的结果应当证明是良好的判断和对测评项的正确理解。
测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
第三章测评安全目标(2 级)一、技术目标O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2.应具有控制接触重要设备、介质的能力O2-3.应具有对通信线路进行物理保护的能力O2-4.应具有控制机房进出的能力O2-5.应具有防止设备、介质等丢失的能力O2-6.应具有控制机房内人员活动的能力O2-7.应具有防止雷击事件导致重要设备被破坏的能力O2-8.应具有灭火的能力O2-9.应具有检测火灾和报警的能力O2-10. 应具有防水和防潮的能力O2-11. 应具有防止静电导致重要设备被破坏的能力O2-12. 应具有温湿度自动检测和控制的能力O2-13. 应具有防止电压波动的能力O2-14. 应具有对抗短时间断电的能力O2-15. 具有基本的抗电磁干扰能力O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-18. 应具有网络边界完整性检测能力O2-19. 应具有对传输和存储数据进行完整性检测的能力O2-20. 应具有对硬件故障产品进行替换的能力O2-21. 应具有系统软件、应用软件容错的能力O2-22. 应具有软件故障分析的能力O2-23. 应具有合理使用和控制系统资源的能力O2-24. 应具有记录用户操作行为的能力O2-25. 应具有对用户的误操作行为进行检测和报警的能力O2-26. 应具有对传输和存储中的信息进行保密性保护的能力O2-27. 应具有发现所有已知漏洞并及时修补的能力O2-28. 应具有对网络、系统和应用的访问进行控制的能力O2-29. 应具有对数据、文件或其他资源的访问进行控制的能力O2-30. 应具有对资源访问的行为进行记录的能力O2-31. 应具有对用户进行唯一标识的能力O2-32. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-33. 应具有对恶意代码的检测、阻止和清除能力O2-34. 应具有防止恶意代码在网络中扩散的能力O2-35. 应具有对恶意代码库和搜索引擎及时更新的能力O2-36. 应具有保证鉴别数据传输和存储保密性的能力O2-37. 应具有对存储介质中的残余信息进行删除的能力O2-38. 应具有非活动状态一段时间后自动切断连接的能力O2-39. 应具有重要数据恢复的能力二、管理目标O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置第四章测评内容当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。
传统的安全需求分析方法有很多,如风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级评估测评法。
➢活动目标:本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
➢参与角色:甲方\广州华南信息安全测评中心➢活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统测评计划,信息系统测评方案。
➢活动描述:参见有关信息系统安全保护等级测评的规范或标准。
➢活动输出:安全等级测评评估报告。
信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容:一、资料审查a)测评机构接受用户提供的测评委托书和测评资料;b)测评机构对用户提供的测评委托书和测评资料进行形式化审查,判断是否需要补充相关资料;二、核查测试a)测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等,制定系统安全评估测评计划;b)依据系统安全测评计划制定系统安全评估测评方案;c)依据系统安全测评方案实施现场核查测试;d)对核查测试结果进行数据整理记录,并形成核查测试报告。
三、综合评估a)对用户资料,评估机构实地调研资料和测试报告进行综合分析,形成分析意见;b)就分析意见与用户沟通确认,最终形成系统安全测评综合评估报告;c)对系统安全测评综合评估报告进行审定;d)出具最终《信息系统安全测评综合评估报告》➢测评数据处理a)对信息系统现场核查记录进行汇总分析,完成信息系统现场核查报告;b)对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现;c)场核查记录、现场核查报告以及测试过程中所有的书面记录,经分析整理后,形成信息系统安全测评综合评估报告;d)系统安全性测评过程所产生的全部数据、记录、资料应归档管理;e)系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露;f)系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。
➢测评结论a)信息系统经测评机构安全测评后,向被测评单位出具信息系统安全测评综合评估报告;b)信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况,其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见。