等保20丨测评全流程
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保20丨测评全流程
等保2.0丨测评全流程
一、等保测评全流程
等级保护整体流程介绍
各个阶段产出的文档:
二、定级备案
定级备案过程及工作内容
安全等级保护定级报告(大纲)
依据定级指南确定目标系统的安全保护等级,同时也是对安全保护等级确定过程的说明。
1.目标业务系统描述
系统的基本功能
系统的责任部门
系统的网络结构及部署情况
采取的基本防护措施
2.业务信息及系统服务的安全保护等级确定
业务信息及系统服务的描述
业务信息及系统服务受到破坏时所侵害客体的描述
业务信息及系统服务受到破坏时对侵害客体的侵害程度
业务信息及系统服务的安全等级的确定
3.系统安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定三、差分整改(重点)
差分整改过程存眷的高风险问题
1、安全物理环境
这块没有包含在一个中心,三个防护的内容内里,可是也是在等保尺度内里的,只不过大多数系统这块都基本满足。
2、安全区域边界
通信协议转化(或者网闸)通常用于四级系统
3、安全通讯网络
设备处理能力要看高峰期的记录。
4、安全计算环境(内容较多)
5、安全管理中心
6、安全管理
(1)安全管理制度:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统。
(2)安全建设管理:关键设备和网络安全专用产品的使用违反国家有关规定。(3)密码管理:密码产品与服务的使用违反国家密码管理主管部门的要求。(4)外包开发代码审
计:被测单位未对外包公司开发的系统进行源代码安全审查,外包公司也无法提供第三方安全检测证明。
(5)上线前安全检测:系统上线前未进行任何安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线。