下载文档原格式
等保申请流程等保申请流程是指企业或组织为了保障信息系统安全,向国家网络安全监管部门申请等级保护认证的过程。
等级保护认证是指国家网络安全监管部门根据信息系统的安全等级要求,对企业或组织的信息系统进行评估和认证,确认其安全等级,并颁发等级保护认证证书。
下面是等保申请流程的详细介绍。
一、准备工作1.明确等级保护认证的目的和意义,了解等级保护认证的相关政策和标准。
2.确定申请等级保护认证的信息系统范围和等级要求。
3.组织编制等级保护认证申请材料,包括申请表、安全管理制度、安全技术方案、安全评估报告等。
4.组织内部安全检查和自查,确保信息系统符合等级保护认证的要求。
二、申请等级保护认证1.提交等级保护认证申请材料,包括申请表、安全管理制度、安全技术方案、安全评估报告等。
2.等待国家网络安全监管部门的审核和评估,包括现场检查、安全评估、安全测试等。
3.根据国家网络安全监管部门的要求,及时整改和改进信息系统的安全问题。
4.通过国家网络安全监管部门的审核和评估,获得等级保护认证证书。
三、维护等级保护认证1.定期进行安全检查和自查,确保信息系统的安全性能符合等级保护认证的要求。
2.及时整改和改进信息系统的安全问题,确保信息系统的安全性能不断提升。
3.定期向国家网络安全监管部门报告信息系统的安全状况和安全事件,确保信息系统的安全性能得到有效维护。
总结:等保申请流程是一个非常重要的过程,它能够帮助企业或组织保障信息系统的安全性能,提高信息系统的安全等级,保护企业或组织的核心业务和敏感信息。
在申请等级保护认证的过程中,企业或组织需要充分了解等级保护认证的相关政策和标准,明确申请等级保护认证的目的和意义,组织编制等级保护认证申请材料,定期进行安全检查和自查,及时整改和改进信息系统的安全问题,确保信息系统的安全性能得到有效维护。
等保的工作流程
等保的工作流程涵盖了信息安全管理的方方面面,主要可以分为以下几个步骤:
1. 安全评估和等级划分:根据国家规定的等保标准和安全评估要求,对企业的信息系统进行安全评估,并根据评估结果确定等级划分。
2. 安全需求分析和制定安全方案:根据等级划分确定的安全需求,制定相应的安全方案,包括技术保障、管理制度、组织架构等方面。
3. 安全措施实施和运维:针对制定的安全方案,实施相应的安全措施,包括网络安全、数据安全、应用安全等方面,并进行日常运维和管理。
4. 安全监测和风险管理:对信息系统进行全面监测,及时发现和处理安全事件,对潜在风险进行风险管理,保证信息系统的安全性和稳定性。
5. 安全评估和持续改进:定期对信息系统进行安全评估,对存在的问题和不足进行改进和完善,持续提升信息系统的安全水平。
以上是等保的一般工作流程,企业可以根据自身情况和需要进行调整和优化,以达到更好的信息安全管理效果。
- 1 -。
等保测评流程介绍:
等保测评流程主要包括以下几个步骤:
1.系统定级:对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供
协助定级服务,辅助用户完成定级报告,组织专家评审。
2.系统备案:持定级报告和备案表到所在地公安网监进行系统备案。
3.建设整改:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
4.等级测评:测评机构对信息系统进行等级测评,形成测评报告。
这一步骤包括确定测评目标、信
息收集、风险评估、安全测试、安全评估等具体工作。
5.合规监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
等保服务方案第1篇等保服务方案一、方案背景随着信息技术的飞速发展,信息安全已成为我国经济社会发展的重要保障。
为提高我国信息安全保障能力,依据《中华人民共和国网络安全法》等相关法律法规,我国开展了网络安全等级保护工作。
本方案旨在为某单位提供一套合法合规的等保服务方案,确保其信息系统安全稳定运行。
二、方案目标1. 满足国家相关法律法规要求,确保信息系统安全合规。
2. 提高单位信息安全保障能力,降低安全风险。
3. 建立完善的等保服务体系,提升单位信息安全管理水平。
三、方案内容1. 等保建设(1)物理安全加强物理安全防护,确保信息系统运行环境安全。
具体措施如下:- 机房设施:按照国家标准建设机房,配备防火、防盗、防潮、防静电等设施。
- 供电保障:采用双路供电,配备不间断电源,确保信息系统稳定运行。
- 网络安全:采用物理隔离、防火墙等技术手段,确保网络边界安全。
(2)网络安全加强网络安全防护,保障信息系统安全稳定运行。
具体措施如下:- 网络架构:采用分层、分区的设计原则,提高网络的安全性和可扩展性。
- 访问控制:实施严格的访问控制策略,防止非法访问、控制、泄露、篡改等安全风险。
- 安全审计:建立安全审计制度,对网络设备、系统和用户行为进行审计,确保合规性。
(3)主机安全加强主机安全防护,防止恶意攻击和病毒感染。
具体措施如下:- 系统安全:定期更新操作系统、数据库等软件,修复安全漏洞。
- 权限管理:实施最小权限原则,限制用户对系统资源的访问。
- 防病毒:部署防病毒软件,定期更新病毒库,防止病毒感染。
(4)应用安全加强应用安全防护,确保应用系统的安全稳定运行。
具体措施如下:- 安全编码:遵循安全编码规范,提高应用系统安全性。
- 应用审计:对应用系统进行安全审计,发现并修复安全漏洞。
- 数据保护:采用加密、脱敏等技术手段,保护用户数据安全。
2. 等保运维(1)人员管理- 设立专门的等保运维团队,负责信息系统等保工作。
等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1定级备案咨询1.1工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。
系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
(2)定级对象分析业务类型分析:通过对业务类型的分析,确定各系统的重要性。
管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。
等保测评备案流程等保测评备案流程一、引言等保测评备案是信息系统安全保护的重要环节,它通过对信息系统的安全性进行评估和备案登记,以确保系统的安全性和合规性。
本文将介绍等保测评备案的流程,帮助企业和组织了解并顺利完成等保测评备案工作。
二、流程步骤下面是一般等保测评备案的流程步骤,具体可根据实际情况进行调整:1. 筹备阶段:-成立等保测评备案项目组,明确相关人员职责和任务。
-收集和整理必要的资料和证明文件,如企业资质证书、组织机构代码证等。
-制定等保测评备案计划,明确评估的范围、目标和时间表。
2. 风险评估与控制:-进行信息系统的风险评估,包括安全风险辨识、定级和等级划分等。
-制定相应的安全措施和控制策略,以降低系统风险。
3. 测评实施:-按照等级划分要求,进行相应的等保测评工作。
-实施技术和程序的评估,包括系统架构、访问控制、密码管理、日志审计等。
4. 结果报告:-撰写等保测评报告,记录评估过程、结果和发现的问题。
-提出改进建议和措施,以进一步完善系统的安全性。
5. 备案登记:-将等保测评报告提交给相关部门,申请备案登记。
-根据部门的要求,补充提供必要的材料和证明文件。
6. 审核与批准:-相关部门进行等保测评备案的审核工作,包括对报告和资料的审查。
-审核通过后,颁发等保测评备案证书或备案凭证。
7. 定期复评:-根据规定,进行定期复评工作,以评估和确认信息系统的安全水平。
三、注意要点1. 了解政策法规:及时了解相关政策法规的要求和规定,确保等保测评备案符合法律法规的要求。
2. 组织协调配合:建立项目组织和合理分工,确保各个环节的协调和配合,提高工作效率。
3. 保护好评估数据:评估中获取的相关数据和信息应妥善保密,防止泄露和利用。
4. 提前准备资料:提前准备好必要的资料和证明文件,以免延误备案的时间。
5. 及时沟通反馈:与相关部门保持及时沟通和反馈,妥善处理评估过程中的问题和建议。
四、总结等保测评备案是确保信息系统安全和合规的重要环节。
等保备案流程一、概述。
等保备案是指网络安全等级保护备案,是我国网络安全法规定的一项重要制度。
其目的是为了加强网络安全等级保护,保障国家网络安全。
等保备案流程是企业和组织进行网络安全等级保护的必经程序,下面将详细介绍等保备案的流程。
二、备案准备。
1. 准备材料。
在进行等保备案之前,企业和组织需要准备相关的备案材料,包括但不限于组织机构代码证、营业执照、法定代表人身份证明、网络安全等级保护责任人身份证明等。
2. 网络安全等级划分。
企业和组织需要根据自身的网络安全等级保护需求,确定所需的网络安全等级,包括一级、二级、三级和四级等级保护。
三、备案申请。
1. 登录备案系统。
企业和组织需要登录国家网络安全等级保护备案管理系统,填写相关备案申请信息。
2. 填写备案信息。
在备案系统中,企业和组织需要填写相关的备案信息,包括基本信息、网络安全等级保护责任人信息、网络安全等级保护责任人安全培训情况等。
3. 上传备案材料。
企业和组织需要将准备好的备案材料,按照系统要求进行上传,确保材料的真实有效。
四、备案审核。
1. 材料审核。
备案系统将对上传的备案材料进行审核,确保材料的完整性和真实性。
2. 现场核查。
备案系统将安排专业人员对企业和组织进行现场核查,核实备案信息的真实性。
3. 审核结果。
经过审核和核查后,备案系统将对备案申请进行审批,并将结果通知企业和组织。
五、备案公示。
备案系统将对通过备案审批的企业和组织进行备案公示,公示时间不少于15个工作日。
六、备案证书。
通过备案审批的企业和组织将获得网络安全等级保护备案证书,证书有效期为三年。
七、备案管理。
企业和组织在获得备案证书后,需要按照备案要求,加强网络安全等级保护工作,确保网络安全。
八、结语。
通过上述流程,企业和组织可以完成网络安全等级保护备案,提升网络安全保护水平,确保国家网络安全。
希望企业和组织能够重视网络安全等级保护备案工作,积极配合相关部门开展备案工作,共同维护网络安全。
等保三级流程1. 等级划定等保三级是国家信息安全等级保护制度中的一种等级,主要适用于涉及国家安全、国计民生、重要利益等要素的信息系统。
在开始等保三级流程之前,首先需要明确要保护的信息系统是否属于等保三级范围。
2. 等级评估等级评估是确定信息系统安全等级的过程,主要包括以下几个步骤:2.1 确定信息系统的功能和价值确定信息系统的功能和价值,包括系统的主要功能、关键数据和业务流程等。
2.2 确定信息系统的威胁和风险分析信息系统可能面临的威胁和风险,包括内部威胁、外部威胁、物理威胁、网络威胁等。
2.3 制定安全目标和控制要求根据信息系统的功能、价值和威胁风险,制定相应的安全目标和控制要求,确保信息系统的安全性。
2.4 进行等级评估根据制定的安全目标和控制要求,对信息系统进行等级评估,确定其安全等级。
3. 安全策划安全策划是根据等级评估结果,制定信息系统安全保护方案的过程,主要包括以下几个步骤:3.1 制定安全策略和安全目标根据等级评估结果,制定信息系统的安全策略和安全目标,明确保护的重点和方向。
3.2 制定安全控制措施根据安全目标,制定相应的安全控制措施,包括物理安全措施、技术安全措施和管理安全措施等。
3.3 制定应急预案制定信息系统的应急预案,包括灾难恢复计划、业务连续性计划和安全事件响应计划等,以应对各种安全事件和事故。
3.4 制定安全培训计划制定信息系统安全培训计划,培训相关人员的安全意识和安全技能,提高整个系统的安全水平。
3.5 制定安全管理制度制定信息系统的安全管理制度,包括安全策略、安全规范、安全流程和安全责任等,确保安全控制措施的有效实施。
4. 安全实施安全实施是根据安全策划的要求,对信息系统进行安全保护的过程,主要包括以下几个步骤:4.1 实施安全控制措施按照安全策划中制定的安全控制措施,对信息系统进行安全配置和安全加固,确保系统的安全性。
4.2 实施安全培训计划按照安全策划中制定的安全培训计划,对相关人员进行安全培训,提高其安全意识和安全技能。
什么是等保测评?服务流程是什么?无论你是初入网络安全行业,还是资深网络安全工作者,等保测评是必须要掌握的一项技能,其在网络安全体系中承担着不可或缺的作用。
但很多人还不知道它是什么,那么什么是等保测评?其服务流程有哪些?具体请看下文。
“等保测评”全称是信息安全等级保护测评。
是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
等保测评是国家信息安全保障的基本制度、基本策略、基本方法。
信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
等保测评服务流程有哪些?1、签订合同:委托方与测评机构签订等保测评合同,明确双方的权利义务、服务内容、费用等事项。
2、准备工作:委托方提供网络信息系统相关的资料和信息,如网络拓扑图、系统结构图、设备清单、安全策略、安全管理制度等。
3、初步评估:测评机构对提供的资料进行初步评估,了解网络信息系统的基本情况和安全问题。
4、现场评估:测评机构对网络信息系统进行现场评估,包括安全管理、网络拓扑、安全设备、安全加固、安全检测、安全事件响应等方面的评估。
5、结果分析:根据评估结果,对网络信息系统的安全等级进行评定,提出安全风险分析和改进建议。
6、编写报告:测评机构根据评估结果编写详细的评估报告,包括评估结论、评估意见、安全风险分析、改进建议等。
7、客户确认:委托方确认评估报告内容,对评估结果和改进建议进行讨论和沟通。
8、后续服务:测评机构提供后续的安全咨询和服务,帮助委托方解决安全问题,提高网络信息系统的安全性能。
等保系列之——网络安全等级保护测评工作流程及工作内容一、网络安全等级保护测评过程概述网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
而测评相关方之间的沟通与洽谈应贯穿整个测评过程。
每一项活动有一定的工作任务。
如下表。
01基本工作流程①测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
②方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③现场测评活动本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护测评要求》GB/T28448-2023的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
02工作方法网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。
等保制度文件模板一、引言为加强信息安全保障,规范信息安全等级保护工作,根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等相关法律法规和技术标准,制定本制度。
二、等级保护原则1. 全面性:对信息系统进行全面的安全保护,确保信息系统在物理、网络、主机、应用、数据等方面满足相应的安全保护要求。
2. 等级性:根据信息系统的重要性、业务特点和安全风险,合理确定信息系统的安全保护等级,实施分等级保护。
3. 动态性:信息系统安全保护工作应当是一个持续的过程,应根据安全威胁的变化和业务发展的需要,不断调整和优化安全保护措施。
4. 协同性:信息系统安全保护工作应当充分发挥各方面的作用,加强部门之间、企业与用户之间的协同配合,共同维护信息安全。
5. 有效性:信息系统安全保护措施应当具备实际可行性,确保安全投入与业务发展相匹配,实现安全保护目标。
三、等级保护工作流程1. 等级保护定级:根据信息系统业务特点、安全风险等因素,确定信息系统的安全保护等级,制定安全保护方案。
2. 安全设计:依据安全保护等级要求,进行信息系统安全设计,包括物理安全、网络安全、主机安全、应用安全和数据安全等方面。
3. 安全实施:按照安全设计方案,进行信息系统安全建设、运行和维护,确保信息系统安全保护措施得到有效实施。
4. 安全评估:定期对信息系统进行安全评估,检验安全保护措施的有效性,发现安全漏洞和风险,及时进行整改。
5. 安全监督与检查:建立健全安全监督与检查制度,对信息系统安全保护工作进行常态化监督与检查,确保安全保护措施得到持续执行。
6. 应急响应:制定应急预案,建立应急响应机制,及时应对信息系统安全事件,降低安全风险。
四、等级保护责任分工1. 信息系统运营者:负责信息系统安全保护工作的组织实施,确保信息系统安全保护措施得到有效执行。
2. 信息系统使用者:遵守信息系统安全保护规定,配合信息系统运营者进行安全保护工作。
等保三级认证流程介绍如下:
等保三级认证是中国信息安全等级保护的一种评定认证方式,是由国家网络安全管理部门颁发的一种证书,主要面向国家重点保护单位和网络运营者。
下面是等保三级认证的具体流程:
1.自查阶段:首先,单位需要对自己的信息系统进行全面的安全自查,查看当前系统
存在哪些安全问题,以及是否满足等保三级的要求。
这个过程需要单位内部的安全专家或外部的安全公司进行。
2.安全加固阶段:根据自查结果,对系统存在的问题进行修复和加固。
这个过程需要
单位内部的安全专家或外部的安全公司进行。
3.安全评估阶段:由第三方的安全评估公司对系统进行安全评估,包括渗透测试、安
全漏洞扫描、代码审计等。
评估公司需要提交安全评估报告。
4.安全认证阶段:根据安全评估报告,由国家网络安全管理部门进行审核,审核通过
后颁发等保三级认证证书。
5.安全维护阶段:单位需要对系统进行日常的安全维护工作,包括安全事件监测、安
全事件响应、漏洞修复等,以保证系统长期安全可靠。
以上就是等保三级认证的具体流程。
需要注意的是,等保三级认证是一项较为复杂的工作,需要专业的安全团队和评估公司来协助完成。
第三级信息系统等级保护服务内容与技术要求第三级信息系统等级保护服务的内容和技术要求一、项目概述根据《中华人民共和国网络安全法》,为加强网络安全与信息化工作,提高网络安全防护水平,落实信息系统安全等级保护制度,需要采购第三方专业测评机构的服务。
该机构将协助完成定级备案工作、等级测评工作、安全整改工作和监督检查工作。
二、服务内容与要求信息安全等级保护工作共分为五步,包括“定级、备案、建设整改、等级测评、监督检查”。
该项目主要完成系统的定级、备案和等级测评工作。
等级测评工作依据安全技术和安全管理两个方面的测评要求,分别从“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”进行安全测评。
1.定级该项工作主要依据《信息系统安全等级保护定级指南》(GB/T-2008)确定系统等级。
根据等级保护2.0最新要求,安全保护等级初步确定为二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
2.备案信息系统的安全保护等级确定后,二级以上(含二级)信息系统的运营使用单位或主管部门应到属地公安机关办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
完成备案的信息系统,将获得公安机关颁发的《信息系统安全等级保护备案证明》。
此次项目拟对以下信息系统开展定级备案及等级测评工作。
信息系统名称及安全保护等级如下表:序号系统名称等级1 信息中心系统1 第三级2 信息中心系统2 第三级3 监管平台系统1 第三级单项测评结果判定在等级测评工作的分析与报告编制阶段,需要通过单项测评结果判定来找出系统的安全保护现状与相应等级的保护要求之间的差距。
这个阶段还需要通过单元测评结果判定、整体测评和风险分析等方法,分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《信息系统安全等级测评报告》文本。
等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1定级备案咨询1.1工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。
系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
(2)定级对象分析业务类型分析:通过对业务类型的分析,确定各系统的重要性。
管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。
(3)定级要素分析业务信息分析:通过以上调查与分析,明确业务信息(系统数据)被破坏后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
系统服务分析:通过以上调查与分析,明确系统被破坏或者中断服务后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
综合分析:通过对业务信息分析与系统服务分析,分别确定其安全等级确定等级:取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。
(4)撰写定级报告撰写定级报告:通过以上调查与分析,撰写系统定级报告,包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。
(5)协助定级备案协助填写备案表:协助业主完成系统安全等级保护备案表的填写。
协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定级审批过程。
1.2交付成果信息系统安全等级保护定级报告信息系统定级备案表2安全建设规划2.1工作内容根据等级化安全保障体系的设计思路,等级保护的安全建设规划包括以下内容:1.安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
2.确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
3.安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。
包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。
通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
2.2交付成果信息系统安全等级保护建设规划方案3安全等级现状测评为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。
测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。
3.1等级保护差距分析按照等级保护实施要求,信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。
差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距。
为等级化体系设计提供依据。
3.1.1工作内容差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。
具体内容为:1、技术差距检测:(1)物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。
主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
(2)网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。
主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。
(3)主机安全:评估信息系统的主机系统安全保障情况。
主要包含:身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。
(4)应用安全:对信息系统进行应用安全符合性调查。
主要包含:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。
(5)数据安全:评估信息系统的数据安全保障情况。
主要检查系统的数据在采集、传输、处理和存储过程中的安全。
2、管理差距检测:(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。
主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。
主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理:评估机构人员安全控制方面的情况。
主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
(4)系统建设管理:评估系统建设管理过程中的安全控制情况。
主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理:评估系统运维管理过程中的安全控制情况。
主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
3、等级保护差距分析:基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。
3.1.2交付成果信息系统等级保护差距分析报告3.2脆弱性检测脆弱性(弱点)是指可能为许多目的所利用的系统某些方面,包括系统弱点、安全漏洞和实现的缺陷等。
为识别和分析信息系统所存在的脆弱性,确认需要实施安全加固与调优的事项,将首先进行脆弱性检测工作,从网络层、主机层和应用层三个方面进行检测,本次脆弱性检测的主要内容是漏洞扫描和系统配置检查。
3.2.1工作内容系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、网络与安全设备的配置检查,以及漏洞扫描检测工作。
具体内容如下:1、网络架构分析:进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容如下:(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。
(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
2、设备配置检查:检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下:(1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;(2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项;(3)安全设备手工检查:获取防火墙的访问控制策略、以透明还是路由方式部署、NAT地址转换、网络连接数限制等信息,检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等。
3、漏洞扫描检测:借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
3.2.2交付成果信息系统脆弱性评估报告3.3渗透测试通过模拟黑客对信息系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。
3.3.1工作内容针对信息系统的渗透测试将采取两种类型:第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;第二类型:内网渗透测试,通过接入内部网络发起内部攻击,主要针对信息系统的后台管理系统进行测试。
3.3.2交付成果信息系统渗透测试报告3.4源代码测评源代码安全测试对所提供的源代码采用工具进行安全扫描,分析和软件安全风险管理,并给出安全问题审计结果,安全问题描述和推荐修复建议。
3.4.1工作内容依据CVE(Common Vulnerabilities & Exposures)安全漏洞库、设备及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全漏洞进行识别,给出整改建议3.4.2交付成果信息系统源代码测试报告4信息系统安全整改咨询信息系统安全整改包含3方面工作内容:首先测评机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改,其次以等级保护对应等级的管理要求为依据建立健全信息安全管理制度,最后依照信息系统安全规划方案指导信息系统优化和完善信息系统安全防护措施,并对系统安全整改情况进行跟踪和效果评价,为后续开展的等级测评工作奠定良好基础。
