下载文档原格式
信息安全等级保护测评指南信息安全等级保护测评是指对信息系统安全等级保护的实施情况进行评估和测试的过程,旨在评估信息系统的安全保护能力,检测信息系统存在的安全隐患,并提出相应的整改建议。
下面是一个信息安全等级保护测评指南,以帮助组织进行有效的测评。
一、测评准备1.明确测评目标和范围:确定测评的具体目标,包括测评的等级保护要求和测评的范围,确保测评的准确性和全面性。
2.组织测评团队:确定测评团队的成员和职责,包括测评组长、技术专家、安全管理人员等,确保测评工作的有效开展。
3.准备测评工具和方法:选择合适的测评工具和方法,包括测评软件、网络扫描工具、物理安全检测设备等,确保测评的可靠性和准确性。
二、测评步骤1.收集信息:收集和了解被测评系统的相关信息,包括系统架构、网络拓扑、数据流程等,以便进行后续的测评工作。
2.风险评估:对系统可能面临的安全风险进行评估和分类,包括内部威胁、外部攻击等,以确定测评的重点和方向。
3.安全策略评估:评估被测评系统的安全策略和安全控制措施的有效性和合规性,包括访问控制、身份认证、加密算法等。
4.物理安全测评:对被测评系统的物理环境进行检测和评估,包括机房的物理访问控制、机柜安装的安全性等,以保证系统的物理安全。
5.网络安全测评:对被测评系统的网络环境进行检测和评估,包括网络设备的配置、网络服务的安全性等,以保证系统的网络安全。
6.系统安全测评:对被测评系统的操作系统和应用软件进行检测和评估,包括漏洞扫描、系统配置审计等,使用合适的工具和方法进行。
7.数据安全测评:对被测评系统的数据存储和传输进行检测和评估,包括数据备份和恢复、数据加密等,以保证系统的数据安全。
8.报告编写:根据测评的结果和发现,编写详细的测评报告,包括测评的过程、发现的问题、风险评估和整改建议等,以提供给被测评方参考。
三、测评注意事项1.保护被测评系统的安全:在进行测评的过程中,要确保不会对被测评系统造成破坏或干扰,要尽可能减少对正常业务的影响。
信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统(签约银行登录)二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
2.2项目目标2.2.1等级保护测评服务。
根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。
《信息安全技术网络安全等级保护基本要
求》。
《信息安全技术网络安全等级保护基本要求》是国家信息安全技术标准的核心文件之一,也是实施网络安全等级保护的基础性依据。
它规定了建立和完善网络安全等级保护体系的相关要求,以及我国实施网络安全等级保护的组织、责任、管理等基本要求,为保护网络安全提供了重要指导。
《信息安全技术网络安全等级保护基本要求》提出,要求建立和完善网络安全等级保护体系,建立有效的网络安全等级保护管理体系,实施网络安全等级保护,以及定期对网络安全等级保护体系进行检查和评价,以有效控制网络安全风险。
要求实施网络安全等级保护的组织,完善和落实网络安全等级保护的管理制度、制定规章制度,建立网络安全风险评估机制,落实网络安全等级保护的实施责任,建立网络安全等级保护培训机制,建立网络安全等级保护的检查机制,以及建立和完善网络安全等级保护的考核机制等。
《信息安全技术网络安全等级保护基本要求》还提出了网络安全等级保护体系的实施要求,即网络安全等级保护体系的实施必须遵循安全可靠、实用性强、易于实施和管理的原则,必须依据网络安全风险评估结果,采取有效的安全措施,确保网络安全等级保护体系的正确性。
《信息安全技术网络安全等级保护基本要求》是实施网络安全等级保护的重要依据,它提出了建立和完善网络安全等级保护体系的要求,以及实施网络安全等级保护的组织、责任、管理等基本要求,并且提出了实施网络安全等级保护的实施要求,为保护网络安全提供了重要的指导。
希望各方加强网络安全等级保护工作,共同为保护网络安全作出贡献。
《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》试卷姓名:分数:一、填空题(每空3分,共30分)1.安全测评通用要求中安全物理环境的测评对象是__________和__________。
2.机房__________设在地下室。
3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________(有或没有)作要求。
4.三级测评通用要求机房电力供应设置__________电力电缆线路。
5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求,可通过查看网络设备的__________使用率和__________使用率。
6.边界防护中,__________级测评要求内外网的非法互联进行检测和限制。
7.云计算安全测评扩展要求云计算基础设施位于__________。
8.工业控制系统与企业其他系统之间应划分为__________个区域。
二、不定项选择(每题5分,共30分)1.三级测评通用要求机房出入口应__________。
A.安排专人值守B.放置灭火器C.安装玻璃门D.配置电子门禁系统2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地,还要求设置__________。
A.照明灯具B.过压保护器C.防雷保安器D.空气清新剂3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。
A.动态口令B.数字证书C.生物技术D.设备指纹4.三级测评通用要求安全计算环境中,访问控制的粒度应达到主体为__________。
A.端口级B.用户级C.进程级D.应用级5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加的内容,三级测评通用要求安全管理中心内容包括__________。
A.系统管理B.审计管理C.安全管理D.集中管控6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术手段实现__________加密传输。
信息安全技术网络安全等级保护测评要求信息安全技术网络安全等级保护测评要求1.引言1.1 目的1.2 背景2.术语和定义3.系统规划3.1 网络架构规划3.1.1 网络拓扑3.1.2 网络设备规划3.2 安全策略规划3.2.1 安全策略制定3.2.2 风险评估和管理4.网络访问控制4.1 身份认证4.1.1 用户身份认证4.1.2 设备身份认证4.2 访问控制列表4.2.1 网络边界访问控制 4.2.2 内部访问控制4.3 资源权限管理4.3.1 用户授权管理4.3.2 角色权限管理5.通信安全5.1 数据加密5.2 网络隔离5.3 网络流量监测6.系统安全6.1 操作系统安全配置6.1.1 账户管理6.1.2 安全补丁管理6.2 应用程序安全6.2.1 安全开发规范6.2.2 漏洞扫描和修复7.日志审计与事件响应7.1 日志管理7.1.1 日志收集7.1.2 日志分析7.2 应急响应7.2.1 安全事件分级7.2.2 应急响应计划8.物理安全8.1 机房安全8.1.1 门禁与监控系统 8.1.2 机房环境监测 8.2 设备安全8.2.1 设备防护措施8.2.2 设备备份和恢复9.漏洞管理9.1 漏洞扫描9.2 漏洞评估9.3 漏洞修复10.文件和数据备份10.1 数据备份策略10.2 数据恢复测试11.域名管理11.1 域名注册和管理11.2 域名解析安全12.附件12.1 附件1:网络架构图12.2 附件2:安全策略文件12.3 附件3:漏洞扫描报告法律名词及注释:1.《网络安全法》:中华人民共和国国家法律,旨在加强网络安全保护,维护网络空间主权。
2.《个人信息保护法》:中华人民共和国国家法律,规定个人信息的收集、存储、处理和保护等方面的要求。
3.《电子签名法》:中华人民共和国国家法律,规定电子签名的认证、有效性和法律效应。
4.《计算机软件保护条例》:中华人民共和国国家法律,保护计算机软件的知识产权。
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
《信息安全技术网络安全等级保护测评要求》(G B/T28448-2019)标准解读原版标准详见附录0引言信息系统等级保护系列国家标准在我国推行信息安全工作开展过程中发挥了重要作用,被广泛应用于网络安全职能部门、各行业和领域的网络安全管理部门及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查和安全监督检查等相关工作。
但随着IT技术的飞速发展,特别是在云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下,GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》在应用过程中遇到了一些新的问题,在适用性、时效性、易用性、可操作性上需要进一步完善。
2017年6月1日颁布实施的《中华人民共和国网络安全法》也要求各网络安全职能部门、各行业和领域的网络安全管理部门等配合落实国家网络安全等级保护制度,需要同时对GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》进行修订。
为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T22239-2019相协调,有必要对GB/T28448-2012进行修订。
2014年,公安部第三研究所(公安部信息安全等级保护评估中心)根据国家标准编号制修订计划,牵头组织了对GB/T28448-2012的修订工作,前后共有20多家单位、70多人参与修订工作。
修订工作历经调查研究、草案形成、征求意见稿、送审稿和报批稿等过程,收到了各行业职能部门、用户、专家的宝贵意见。
2019年,《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)国家标准正式实施。
本文分析了GB/T28448-2019发生的主要变化,解读其内容修订和等级测评工作变化等主要内容,以便读者更好地了解和掌握GB/T28448-2019的内容标准主要内容变化0.1标准文本结构变化GB/T28448-2019标准文本分为12章,3个附录。
ICS xx.xxxL xx团体标准T/ISEAA XXX-2019信息安全技术网络安全等级保护云计算测评指引Information security technology—Testing and evaluation guideline of cloud computing forclassified production of cybersecurity(征求意见稿)20XX -XX-XX 发布20XX -XX-XX 实施中关村信息安全测评联盟发布目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 概述 (2)5 云计算等级测评实施 (3)6 云计算等级测评问题分析 (7)7 云计算等级测评结论分析 (8)附录A 被测系统基本信息表(样例) (10)附录B 云计算平台服务(样例) (12)前言为配合国家网络安全等级保护制度2.0全面推进,更好的指导等级测评机构在云计算环境下开展等级测评工作,加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性,依据网络安全等级保护2.0相关系列标准,制定网络安全等级保护云计算安全等级测评指引,本指引遵从下列标准规范:—— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求;—— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求;—— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。
本标准由中关村信息安全联盟提出并归口。
本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。
