下载文档原格式
1.等级保护等级划分第一级自主保护级:无需备案,对测评周期无要求此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成不损害国一般损害,家安全、社会秩序和公共利益。
第二级指导保护级:公安部门备案,建议两年测评一次此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,会对社会秩序、公共利益造成一般损害,不损害。
第三级监督保护级:公安部门备案,要求每年测评一次此类信息系统受到破坏后,会对、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。
第四级强制保护级:此类信息系统受到破坏后,会对造成严重损害,对社会秩序、公共利益造成特别严重损害。
第五级专控保护级:公安部门备案,依据特殊安全需求进行此类信息系统受到破坏后会对造成特别严重损害。
2.等保必要性(1)降低信息安全风险,提高信息系统的安全防护能力;开展等保的最重要原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用不造成重大损失或影响。
(2)满足国家相关法律法规和制度的要求;等级保护是我国关于信息安全的基本政策2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007143号)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一,而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。
本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。
一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。
信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。
常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。
1. 加密技术加密技术是一种通过改变信息的表达方式,实现信息内容不易被理解和使用的技术手段。
常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。
这些算法可以在数据传输、数据存储和身份认证等方面应用,以提高信息系统的安全性。
2. 身份认证技术身份认证技术是一种通过验证用户的身份信息,确认其是否具有访问权限的技术手段。
常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。
这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。
3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。
常见的访问控制技术包括访问控制列表(ACL)、角色权限控制和流程控制等。
这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。
4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。
常见的安全传输技术包括安全套接层(SSL)、虚拟专用网络(VPN)和防火墙等。
这些技术可以保护数据在网络传输过程中的安全性,防止数据被攻击者获取或篡改。
二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求,对信息系统的安全性进行评估和认证的过程。
保护测评的目的是为了评估系统的安全性等级,为其提供安全设计和改进的依据。
1. 测评方法保护测评的方法可以根据具体情况选择,如定性评估、定量评估、风险评估等。
等保测评的大致流程及每个步骤需要做的工作等保测评是指信息系统安全等级保护测评,是根据我国《信息安全等级保护管理办法》要求,对信息系统进行评估划分安全等级的过程。
下面将为大家介绍等保测评的大致流程及每个步骤需要做的工作。
一、准备阶段:1.明确测评需求:确定需进行等保测评的信息系统,明确测评的目的和范围。
2.组建测评团队:由具备相关背景知识和经验的专业人员组成测评团队。
3.准备测评工具:选择适合的测评工具,如安全扫描工具、漏洞评估工具等。
二、信息搜集阶段:1.系统架构分析:对待测评的信息系统进行架构分析,了解系统的整体结构和关键组件。
2.详细资料收集:收集相关的系统文档、安全策略、操作手册等资料,以了解系统的功能和安全要求。
三、漏洞评估阶段:1.漏洞扫描:使用相关工具对系统进行漏洞扫描,发现存在的系统漏洞和安全隐患。
2.漏洞分析:对扫描结果进行分析,确认漏洞的严重性和影响范围。
3.漏洞修复:根据漏洞分析结果,制定相应的修复方案,对漏洞进行修复。
四、安全防护评估阶段:1.安全策略评估:检查系统的安全策略设置,包括访问控制、身份鉴别、加密等措施是否符合要求。
2.安全防护措施评估:对系统的安全防护措施进行评估,包括防火墙、入侵检测系统、安全审计等措施的配置和运行情况。
3.安全措施完善:根据评估结果,完善系统的安全防护措施,确保系统的安全性和可靠性。
五、报告编写和汇总阶段:1.撰写测评报告:根据前面的工作结果,综合编写测评报告,包括系统的安全等级划分、发现的漏洞和隐患、修复和完善的措施等内容。
2.报告汇总:将测评报告提交给相关部门或单位,供其参考和决策。
六、报告验证和回访阶段:1.报告验证:由相关部门或单位对测评报告进行验证,确认测评结果的准确性和可信度。
2.回访与追踪:回访与追踪系统的后续改进措施,确保问题的解决和措施的落地实施。
以上就是等保测评的大致流程及每个步骤需要做的工作。
在进行等保测评时,需要根据具体情况进行调整和细化,以确保测评过程的有效性和全面性。
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等保测评的大致流程及每个步骤需要做的工作标题:等保测评的大致流程及每个步骤需要做的工作引言:等保测评是指对信息系统的安全性进行评估和验证的过程。
在当前数字化时代,保护信息系统的安全性至关重要,因此等保测评成为企业必不可少的一项工作。
本文将介绍等保测评的大致流程,并详细阐述每个步骤需要做的工作。
第一部分:等保测评的概述1.1 什么是等保测评等保测评是按照等级保护要求,对信息系统的安全性进行评估和验证的过程。
通过等保测评可以帮助企业评估自身信息系统的安全状况,发现潜在的安全风险,并制定相应的安全防护策略。
1.2 等保测评的重要性等保测评可以帮助企业发现和解决潜在的安全问题,防范各类安全威胁。
通过等保测评,企业可以提高信息系统的安全性和可信度,保护企业核心信息资产的安全。
第二部分:等保测评的流程2.1 接触阶段在接触阶段,等保测评团队与企业沟通,了解企业的等保需求和目标,制定等保测评计划。
2.2 调研阶段在调研阶段,等保测评团队对企业的信息系统进行全面的调查和收集相关数据,包括网络拓扑、系统资产、安全策略等。
2.3 风险评估阶段在风险评估阶段,等保测评团队根据收集到的数据对信息系统的风险进行评估,确定存在的安全风险和薄弱环节,并制定相应的风险应对措施。
2.4 漏洞扫描和测试阶段在漏洞扫描和测试阶段,等保测评团队利用专业的工具和技术对信息系统进行漏洞扫描和渗透测试,发现系统中存在的潜在漏洞和安全隐患。
2.5 报告编制阶段在报告编制阶段,等保测评团队根据前期的调研和测试结果,编制等保测评报告,该报告详细记录了信息系统的安全状况、存在的风险和建议的改进建议。
2.6 文件归档和备份阶段在文件归档和备份阶段,等保测评团队将评估过程中产生的文件进行分类归档,并备份相关数据,以备后续参考和使用。
第三部分:每个步骤需要做的工作3.1 接触阶段的工作- 了解企业的等保需求和目标- 制定等保测评计划和时间表- 确定评估的范围和重点3.2 调研阶段的工作- 收集企业信息系统的基本情况,如网络拓扑、系统资产、运行模式等- 收集企业的安全策略和控制措施- 了解企业的安全管理制度和操作规范3.3 风险评估阶段的工作- 分析调研结果,确定存在的安全风险和薄弱环节- 制定风险应对措施和安全改进建议- 评估风险的可能性和影响程度3.4 漏洞扫描和测试阶段的工作- 利用专业工具进行漏洞扫描,发现系统中存在的潜在漏洞- 进行渗透测试,模拟黑客攻击行为,检测信息系统的安全性能3.5 报告编制阶段的工作- 根据调研和测试结果,编制等保测评报告- 详细记录信息系统的安全状况、存在的风险和改进建议- 呈现报告给企业管理层,并解答相关问题3.6 文件归档和备份阶段的工作- 对评估过程中产生的文件进行分类归档和备份- 存档重要数据和报告,以备后续参考和使用总结:等保测评是企业保障信息系统安全的重要手段之一。
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易处理到政府部门的政务服务,从企业的生产管理到个人的社交娱乐,信息系统无处不在。
然而,随着信息系统的广泛应用,其面临的安全威胁也日益严峻。
为了保障信息系统的安全可靠运行,保护国家、社会和个人的利益,信息系统安全等级保护测评工作显得尤为重要。
信息系统安全等级保护测评是指依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,从而提高信息系统的安全防护能力。
那么,信息系统安全等级保护测评到底有哪些具体要求呢?首先,测评工作需要遵循一系列的法律法规和标准规范。
我国已经出台了《中华人民共和国网络安全法》等相关法律法规,明确了信息系统安全保护的责任和义务。
同时,还有一系列的国家标准和行业规范,如《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护测评要求》等,为测评工作提供了详细的指导和依据。
其次,测评工作需要对信息系统进行全面的调研和分析。
这包括了解信息系统的业务功能、网络拓扑结构、系统架构、安全设备部署、安全管理制度等方面的情况。
通过对这些信息的收集和整理,为后续的测评工作奠定基础。
在技术层面,测评要求涵盖了物理安全、网络安全、主机安全、应用安全和数据安全等多个方面。
物理安全方面,要确保信息系统所在的机房环境符合安全要求,如防火、防水、防潮、防盗、电力供应稳定等。
同时,机房的访问控制也要严格,只有授权人员能够进入。
网络安全方面,需要检查网络设备的配置是否合理,是否存在网络漏洞和攻击风险。
例如,防火墙的规则设置是否有效,入侵检测系统是否能够及时发现异常流量,网络访问控制策略是否严格等。
主机安全方面,要关注操作系统和数据库的安全配置,是否及时安装了补丁,是否存在默认账号和弱口令等问题。
等级保护测评工作内容
1.系统调查:深入了解系统的基本情况和特点,包括系统的用途、功能、组成结构、重要性等。
2. 安全威胁分析:分析系统所面临的安全威胁,包括黑客攻击、病毒、木马、恶意软件等,以及可能导致系统瘫痪、数据泄露等问题。
3. 安全等级评定:根据系统的安全性能、保密性、可用性等方面的要求,评定系统的安全等级,并提供安全等级评定报告。
4. 安全加固建议:针对评定结果,提供相应的安全加固建议,包括技术加固、管理加固等方面的措施。
5. 测评报告:提供详细的测评报告,包括系统安全状态、安全等级评定结果、安全威胁分析及加固建议等内容,供相关单位参考。
以上是等级保护测评工作的主要内容。
通过等级保护测评工作,能够全面评估国家重要信息系统的安全性,并提出有效的加固建议,为信息安全提供保障。
- 1 -。
信息系统安全等级保护测评工作内容二级信息系统安全等级保护测评工作内容以单个二级系统计算,主要依据其服务器、交换机、路由器和网络安全设备的数量并结合其它情况综合确定。
测评活动总共分为四个阶段,测评准备活动、测评方案编制活动、现场测评活动、分析与报告编制活动。
具体的测评项目见《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护实施指南》1、测评准备活动阶段:本阶段主要包括:等级测评项目启动、信息收集与分析、工具和表单准备等。
涉及表单如下:单位基本情况、参与人员名单、物理环境情况、信息系统基本情况、信息系统承载业务(服务)情况、信息系统网络结构(环境)情况、外联线路及设备端口(网络边界)情况、网络设备情况、安全设备情况、服务器设备情况、终端设备情况、系统软件情况、应用系统软件情况、业务数据情况、数据备份情况、应用系统软件处理流程(多表)、业务数据流程(多表)、管理文档情况、安全威胁情况等。
2、测评方案编制活动阶段:本阶段主要包括:测评对象确定和测评指标确定、测评工具接入点确定、测评内容确定、测评指导书开发、测评方案编制等。
测评指导书包括:安全管理机构操作指导书、安全管理制度操作指导书、人员安全管理操作指导书、系统建设管理操作指导书、系统运维管理操作指导书、物理安全操作指导书、网络安全操作指导书、主机安全操作指导书、应用安全操作指导书、工具测试操作指导书等。
测评方案包括:被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容、测评指导书等。
3、现场测评活动阶段:本阶段主要包括:测评实施准备、现场测评和结果记录、结果确认和资料归还等。
测评项:安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。
其中物理安全包括10个控制点33个测评项要求,网络安全包括6个控制点27个测评项要求,主机安全包括6个控制点23个测评项要求,应用安全包括7个控制点34个测评项要求,数据安全及备份恢复包括3个控制点13个测评项要求。
等保验收测评方案等保验收测评方案是指对信息系统进行等级保护测评与验收的方案。
下面将从准备工作、测评方法和结果报告三个方面进行阐述。
一、准备工作在进行等保验收测评之前,需要完成以下准备工作。
首先,明确测评的等级保护要求,包括保密、完整性、可用性等要求。
然后,确定测评的范围和目标,明确要测评的信息系统和相关功能。
接着,制定测评计划,确定测评的时间、地点和参与人员。
最后,准备测评所需的工具和设备,包括网络扫描器、漏洞扫描器等。
二、测评方法等保验收测评可以采用多种方法进行,下面介绍两种常用的方法。
一种是主动测评,即通过模拟攻击和渗透测试等手段,对信息系统进行安全性评估。
主动测评可以发现系统存在的漏洞和弱点,并提出相应的改进意见。
另一种是被动测评,即监控和分析信息系统的网络流量和日志记录,以检测潜在的安全威胁。
被动测评可以及时发现异常行为和攻击事件,并采取相应措施进行防范。
三、结果报告完成等保验收测评后,需要撰写结果报告。
结果报告应包括对信息系统安全性的评估和测试结果的总结。
首先,对信息系统的安全性进行评估,包括对各个等级保护要求的满足程度进行评价。
然后,总结测试结果,列出发现的漏洞和问题,并提出相应的改进建议。
最后,对整个测评过程中的不足和改进措施进行反思,为今后的测评工作提供经验和借鉴。
综上所述,等保验收测评方案需要进行准备工作、选择合适的测评方法,并撰写结果报告。
只有按照严格的测评方案进行操作,才能全面评估信息系统的安全性,并提出有效的改进措施。
这样可以保障信息系统的正常运行和数据的安全。
XX安全服务公司2018-2019 年XXX 项目等级保护差距测评实施方案XXXXXXXXX信息安全有限公司201X年X月3. 时间安排17目录1.1. 项目背景 .. 1.2. 项目目标 1.3. 项目原则 1.4. 项目依据 1. 项目概述 目录 2. 测评实施内容 2.1.1. 测评范围 ..................... .. (4)2.1.2. 测评对象 ...................................... 4 2.1.3. 测评内容 ..................... ................. 4 2.1.4. 测评对象 ..................... ................. 7 2.1.5. 测评指标 ..................... .. (8)2.2. 测评流程 ........................... . (9)2.2.1. 测评准备阶段 .................................................... 10 2.2.2. 方案编制阶段.................................................... 11 2.2.3. 现场测评阶段.................................................... 11 2.2.4.分析与报告编制阶段 ...........2.3. 测评方法 ........................... (13)2.3.1. 工具测试 ..................... (13)2.3.2.配置检查 ..................... (14)2.3.3. 人员访谈 ..................... ................ 14 2.3.4. 文档审查 ..................... ................ 15 2.3.5. 实地查看 ..................... . (15)2.4. 测评工具 ....................... .. (16)2.5. 输出文档 ....................... .. (17)2.5.1. 等级保护测评差距报告 .........2.5.2. 等级测评报告 .................2.1. 测评分析 413错误! 错误! 安全整改建议 2.5.3. 未定义书签。
未定义书签。
错误! 未定义书签。
4. 人员安排 (18)4.1. 组织结构及分工 (18)4.2. 人员配置表 (19)4.3. 工作配合 (20)5. 其他相关事项 (21)5.1. 风险规避 (21)5.2. 项目信息管理 (23)5.2.1. 保密责任法律保证 (23)5.2.2. 现场安全保密管理 (23)5.2.3. 文档安全保密管理 (24)5.2.4. 离场安全保密管理 (24)5.2.5. 其他情况说明 (24)1. 项目概述1.1. 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,2015年XXXXXXXXXXXXXXXXX要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的要求,对XXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评估工作,并且为xxxxxxxxxxxxxxxXX供驻点咨询、实施等服务。
(安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评),加大测评与风险评估力度,对信息系统的资产、威胁、弱点和风险等要素进行全面评估,有效提升信心系统的安全防护能力,建立常态化的等级保护工作机制,深化信息安全等级保护工作,提高xxxxxxxxxxxxxxxXX络与信息系统的安全保障与运维能力。
1.2. 项目目标全面完成XXXXXXXXXXXXXXXXX有六个信息系统的信息安全测评与评估工作和协助整改工作,并且为XXXXXXXXXXXXXXX提供驻点咨询、实施等服务,按照国家和xxxxxxxxxxxxxxxXX有关要求,对xxxxxxxxxxxxxxxXX网络架构进行业务影响分析及网络安全管理工作进行梳理,提高xxxxxxxxxxxxxxxXX个网络的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率,全面提高网络层面的安全性,构建xxxxxxxxxxxxxxxXX息系统的整体信息安全架构,确保全局信息系统高效稳定运行,并满足xxxxxxxxxxxxxxxXX出勺基本要求,及时提供咨询等服务。
1.3. 项目原则项目的方案设计与实施应满足以下原则:符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。
标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
1.4. 项目依据信息系统等级测评依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:计算机信息系统安全保护等级划分准则》- GB17859-1999《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护定级指南》( GB/T 222402008)《信息安全技术信息系统安全等级保护基本要求》( GB/T 222392008) 计算机信息系统安全保护等级划分准则》( GB17859-1999)信息安全技术信息系统通用安全技术要求》( GB/T20271-2006)信息安全技术网络基础安全技术要求》( GB/T20270-2006)信息安全技术操作系统安全技术要求》( GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》( GB/T20273-2006)《信息安全技术服务器技术要求》( GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》( GA/T671-2006)信息安全风险评估规范》( GB/T 20984-2007 )2. 测评实施内容层次安全授术主机安全应用安全数据安全安全管理制度安全管理机构爭呆卫要求等保三级要求人员安全管理系统建设管理系统运维管理等保三级聲求等保三级要求等保二级要求等保二级要求等保二级要求2.1. 测评分析2.1.1. 测评范围本项目范围为对XXXXXXXXXXXXXXXXX定级信息系统的等级保护测评。
2.1.2. 测评对象本次测评对象为xxxxxxxxxxxxxxxXX息系统,具体如下:序号信息系统名称级别1XXXXXXXX信息系统三级2XXXXXXXX信息系统三级3XXXXXXXX信息系统三级4XXXXXXXX信息系统三级5XXXXXXXX信息系统二级6XXXXXXXX信息系统二级2.1.3. 测评架构图本次测评结合xxxxxxxxxxxxxxxXX统的信息管理特点,进行不同层次的测评工作,如下表所示:测评范圉物理安全网络安全等保二级萝求等保二^要求等保三级要求等保三级要去本项目主要分为两步开展实施。
第一步,对XXXXXXXXXXXXXXXX六XX言息系统进行定级和备案工作。
第二步,对XXXXXXXXXXXXXXXX已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和验收测评。
差距测评主要针对XXXXXXXXXXXXXXXX^定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。
最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXXXXXXXXXXXXXXX^定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
具体见下图:信息系统等级保护测评系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统 的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。
在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关 联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、 补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全 性。
安全控制测评安全u 术测评物理宾全主机安全网络安全应用安全数据安全安全管理测评安全管理机构■安全管理制度人员宝全管理丢统建设管理整体架构/局部架构不同信息系统间整体安全性综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。
