当前位置:文档之家 › 等级保护测评完全全面过程专题培训课件

等级保护测评完全全面过程专题培训课件

  • 格式:ppt
  • 大小:1.18 MB
  • 文档页数:46

下载文档原格式

  / 46

合集下载

等级保护测评-完全过程(非常全面)[优质ppt]

等级保护测评-完全过程(非常全面)[优质ppt]

组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
等级保护测评过程 以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。

等级保护和等级测评简介41页PPT

等级保护和等级测评简介41页PPT
一般损害:是指对客体造成一定损害和影响, 经采取恢复或弥补措施,可消除部分影响。
严重损害:是指对客体造成严重损害,经采 取恢复或弥补措施,仍产生较大影响。
造成特别严重损害:是指对客体造成特别严 重损害,后果特别严重,影响重大且无法弥 补。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
准备阶段

主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评方法
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体) 进行交流、讨论等活动,获取相关证据以表明信息系统安 全保护措施是否有效落实的一种方法。在访谈范围上,应 基本覆盖所有的安全相关人员类型,在数量上可以抽样。
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评内容
技术要求:
物理安全 网络安全 主机安全 应用安全 数据安全
信息系统备案
第二级以上信息系统,由信息系统运营使 用单位到所在地设区的市级以上公安机关 网络安全保卫部门办理备案手续,填写 《信息系统安全等级保护备案表》。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
安全建设整改
第二级信息系统:经过安全建设整改工作,信息系统具有 抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然 灾害的能力,防范一般性计算机病毒和恶意代码危害的能 力;具有检测常见的攻击行为,并对安全事件进行记录的 能力;系统遭到损害后,具有恢复系统正常运行状态的能 力。

等级保护专题培训课件

等级保护专题培训课件

基本要求子类
物理和环境安全 网络和通信安全
信息系统安全等级保 护级别
等保二级 等保三级
15
22
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
安全建设管理
25
34
安全运维管理
30
48
合计
/
147
230
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
边界防护设备接入内部网络。
入侵防范

b) 应在关键网络节点处检测、防止或限制从内部发起 入侵防范 的网络攻击行为; (新增)

c) 应采取技术措施对网络行为进行分析,实现对网络 攻击特别是新型网络攻击行为的分析; (新增)
原控制项
新控制项
恶意代码防范

恶意代码防范
b) 应在关键网络节点处对垃圾邮件进行检测和防护, 并维护垃圾邮件防护机制的升级和更新。 (新增)
(新增)
原控制点 要求项数
新控制点 要求项数
1结构安全
7
1 网络架构
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2

等级保护测评-完全过程(非常全面)

等级保护测评-完全过程(非常全面)
等级保护测评过程
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69


66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。

等级保护流程培训V0

等级保护流程培训V0

系统 定级
安全规 安全 安全运 划设计 实施 行管理
终止
PPT文档演模板
等级保护流程培训V0
等级保护实施过程
局部调整
PPT文档演模板
重大
等级保护流程培训V0
等级保护工作流程总图
PPT文档演模板
等级保护过程及各阶段工作
安全定级备案阶段 安全规划设计阶段 安全实施/实现阶段 安全
自主定级
安全要求导出
等级安全解决方案设计 阶段
专家评审 主管部门批准 网监定级备案
等级保护差距评估
安全技术体系等级实施改造
持续
信息系统风险评估
安全管理体系等级实施改造
系统业务安全域划分 等级测评
安全建设整体规划
安全岗位培训
应急 系统 配合
安全基线设计
安全制度演练
等级保护流程培训V0
系统定级与备案
安全定级备案阶段
PPT文档演模板
PPT文档演模板
等级保护流程培训V0
对测评机构的要求
三级以上信息系统应当选择使用符合以下条件的等级保护测
➢ 在中华人民共和国境内注册成立(港澳台除外) ➢ 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台除 ➢ 从事相关检测评估工作两年以上,无违法记录 ➢ 工作人员仅限于中国公民 ➢ 法人及其主要业务、技术人员无犯罪纪录 ➢ 使用的技术装备、设施应当符合本办法对信息安全产品的要求 ➢ 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安 ➢ 对国家安全、社会秩序、公共利益不构成威胁
PPT文档演模板
等级保护流程培训V0
中央文件
中办[2003]27号文件 《国家信息化领导小组关于加强信息安全保
意见》

[课件]等级保护测评介绍PPT

[课件]等级保护测评介绍PPT

等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11

为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
保密性原则
15

等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及 对应的安全建设 情况,开展针对 性较强的测评工 作。
保密性原则
个性化原则
16


主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要 求和组织的具体网络特点定制的,具范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则

等级保护测评-完全过程(非常全面)ppt课件

.
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
安全管理制度
0
0
7 10 0
2 32
安全管理机构
0
管理
人员安全管理
0

系统建设管理
0
0
9 19 2 8 5 8
0
11 16 5 4 5 4
0
28 41 13 18 9 18
系统运维管理
0
0
27 51 42 54 12 54
控制点 二三 级级 23 47 24 40 20 34 21 37 48 7 12 11 27 16 20 41 59 69 105
线缆隔离、设备和介质屏蔽 .

信息系统安全等级保护培训课件(PPT 36页)


区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件

1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根

《信息系统安全等级保护等保测评安全管理测评》PPT


1、序号背景知安全识关注点
一级
二级
三级
四级
1
管理制度
1
3
4
4
2
制定和发布
2
3
5
6
3
评审和修订
0
1
2
4
合计
3
7
11
14
1、背景知识
• 人员安全管理是指加强人员的安全管理。规范人 员录用、离岗过程,关键岗位签署保密协议,对 各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训,对关键岗位的人员进行全面、 严格的安全审查和技能考核。对外部人员允许访 问的区域、系统、设备、信息等进行控制
1、背景知识
内容
1
背景知识
2
测评依据和内容
3
测评方法和流程
4
安全管理现场测评实施
2、测评依据和内容
测评依据
信息系统安全等级保护基本要求GB/T22239-2008 信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿)
2、测评依据和内容
标准中管理要求形成思路
政策和制度
信息系统安全等级保护 安全管理测评
内容
1
背景知识
2
测评依据和内容
3
测评方法和流程
4
安全管理现场测评实施
1、背景知识
安全管理的定义
“三分技术,七分管理” 安全管理是指在信息系统中对需要人员来参与的活动采取必要 的管理控制措施,对信息系统的生命周期全过程实施科学管理。
技术和管理的区别
安全技术主要通过在信息系统中合理部署软硬件并正确配置其 安全功能实现。 安全管理主要通过控制与信息系统相关各类人员的活动,采取 文档化管理体系,从政策、制度、规范、流程以及记录等方面 做出规定实现。

《等级保护培训》课件

意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与 实施、安全运行维护、信息系统终止”等五个阶段。
信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、
公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责, 谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分 析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指 导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系 统的安全保护现状与等级保护要求之间的差距。 安全设计与实施 安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步 落实安全措施 安全运行维护 安全运行与维护是等级保护实施过程中确保信息系统正常运立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥 的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上 述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其 它标准或指南 信息系统终止 信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的 敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上 的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、 设备迁移和介质销毁等方面的安全
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
主题二
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等级保护完全实施过程
信息系统定级

安全总体规划



安全设计与实施
局 部 调 整
安全运行维护
安全等级整改
安全整改设计
安全要求整改
等级符合性检查 应急预案及演练
安全等级测评 信息系统备案
信息系统终止
全设计技术要求》; 测评标准:《信息系统安全等级保护测评要求》 、 《信息系统安全等级保护测评过程指南》 、 《信息系统
安全等级保护实施指南》; 管理标准:《信息系统安全管理要求》、 《信息系统安全工程管理要求》。
3、运用科学的手段和方法: 采用6种方式,逐步深化的测试手段 调研访谈(业务、资产、安全技术和安全管理); 查看资料(管理制度、安全策略); 现场观察(物理环境、物理部署); 查看配置(主机、网络、安全设备); 技术测试(漏洞扫描); 评价(安全测评、符合性评价)。
5、采用安全技术测评和安全管理测评方式: 安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全; 安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出 是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全 等级满足与否的结论;
安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论; 安全整改建议:提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。