等级保护测评-完全过程(非常全面).pptx
- 文档编号:2718973
- 上传时间:2022-11-09
- 格式:PPTX
- 页数:47
- 大小:1.05MB
等级保护测评-完全过程(非常全面).pptx
《等级保护测评-完全过程(非常全面).pptx》由会员分享,可在线阅读,更多相关《等级保护测评-完全过程(非常全面).pptx(47页珍藏版)》请在冰豆网上搜索。
等级保护测评过程以三级为例主题一11223344等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法等保测评概述等级测评等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析11、等级等级测评测评是测评机构依据国家信息安全等级保护制度规定:
u国家信息化领导小组关于加强信息安全保障工作的意见、保护安全建设整改工作的指导意见、信息安全等级保护管理办法。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2)u定级标准:
信息系统安全保护等级定级指南、计算机信息系统安全保护等级划分准则;u建设标准:
信息系统安全等级保护基本要求、信息系统通用安全技术要求、信息系统等级保护安全设计技术要求;u测评标准:
信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南、信息系统安全等级保护实施指南;u管理标准:
信息系统安全管理要求、信息系统安全工程管理要求。
3、运用科学的手段和方法:
采用6种方式,逐步深化的测试手段u调研访谈(业务、资产、安全技术和安全管理);u查看资料(管理制度、安全策略);u现场观察(物理环境、物理部署);u查看配置(主机、网络、安全设备);u技术测试(漏洞扫描);u评价(安全测评、符合性评价)。
组合分析4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级)作为定级对象的信息系统应具有如下基本特征:
u具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位;u具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象;u承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
5、采用安全技术测评和安全管理测评方式:
u安全技术测评包括:
物理安全、网络安全、主机安全、应用安全、数据安全;u安全管理测评包括:
安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
u符合程度:
综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全等级满足与否的结论;u安全等级结论:
结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论;u安全整改建议:
提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。
主题二11223344等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法等级保护完全实施过程信息系统定级信息系统定级安全总体规划安全总体规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止安全等级测评安全等级测评信息系统备案信息系统备案安全整改设计安全整改设计等级符合性检查等级符合性检查应急预案及演练应急预案及演练安全要求整改安全等级整改局部调整等级变更信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。
u信息系统定级信息系统定级定级备案是信息安全等级保护的首要环节。
信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
u总体安全规划总体安全规划总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
u安全设计与实施安全设计与实施安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施u安全运行维护安全运行维护安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南u信息系统终止信息系统终止信息系统终止阶段是等级保护实施过程中的最后环节。
当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。
在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全等保测评工作流程等级测评的工作流程,依据信息系统安全等级保护测评过程指南,具体内容参见:
等保测评工作流程图准备阶段方案编制阶段现场测评阶段报告编制阶段等保实施计划安全管理调研安全管理调研现场实地调研现场实地调研现状调研报告现状调研报告渗透渗透测试报告测试报告信息信息资产调研表资产调研表人工审计报告人工审计报告扫描报告扫描报告基础培训基础培训PPTPPT安全技术调研安全技术调研信息安全信息安全愿景制定愿景制定信息安全总体信息安全总体框架设计框架设计管理体系管理体系技术体系技术体系运维体系运维体系项目项目准备准备等保差距报告等保差距报告风险风险评估报告评估报告技能和意识培训技能和意识培训项目项目准备准备现状调研现状调研风险与差距分析风险与差距分析体系规划与建立体系规划与建立交流、知识转移、培训、宣传交流、知识转移、培训、宣传项目项目验收验收项目项目验收验收控制风险分析控制风险分析等保差距分析等保差距分析高危问题整改高危问题整改规划报告规划报告体系体系文件文件.等保测评等保测评主题三11223344等级保护测评方法论等保测评安全措施等级保护测评概述等级保护测评内容与方法等级保护综合测评物理安全物理安全网络安全网络安全主机系统安全主机系统安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理信息信息系统系统综合综合测评测评技技术术要要求求管管理理要要求求等级保护测评类型等等保基本要求的三种技术类型保基本要求的三种技术类型(S/A/GS/A/G)S:
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信信息安全类息安全类要求要求;-物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等;A:
保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类服务保证类要求要求;-电力供应、资源控制、软件容错等G:
通用通用安全保护类安全保护类要求要求。
-技术类中的安全审计、管理制度等GGAASS等级保护测评指标测评指指标技技术/管理管理安全类安全子安全子类数量数量S类(2级)S类(3级)A类(2级)A类(3级)G类(2级)G类(3级)F类(2级)F类(3级)要求项控制点控制点二级三级二级三三级级技技术类物理安全111182941810182347网络安全110053167672440主机安全231131203632034应用安全45221626762137数据安全221100033348管理管理类安全管理制度007100232712安全管理机构0091928581127人员安全管理00111654541620系统建设管理00284113189184159系统运维管理0027514254125469105合合计6673236389等保测评方法访谈访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。
在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。
在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
物理基本物理基本要求中控制点与要求项各级分布要求中控制点与要求项各级分布:
安全等级安全等级控制点控制点要求项要求项第一第一第一第一级级7799第二第二第二第二级级919第三第三第三第三级级1032第四第四第四第四级级1039物理位置的物理位置的选择(2项)物理物理访问控制控制(4项)防盗窃和防破坏防盗窃和防破坏(6项)防雷防雷击(3项)防火防火(3项)防水和防潮防水和防潮(4项)防静防静电(2项)温湿度控制温湿度控制(1项)电力供力供应(4项)电磁防磁防护(3项)以以第第三三级为例例物理安全物理安全测评内容和方法物理位置物理位置选择物理物理访问控制控制调研访谈:
机房具有防震、防雨和防风能力,并提供机房设计和验收证明;现场查看:
查看机房是否建在高层或地下室。
防防盗盗和防破坏和防破坏防雷防雷击防火防火防水和防潮防水和防潮防防静静电温湿温湿度控制度控制电力供力供应电磁防磁防护物理安全调研访谈:
专人值守、进出记录、申请和审批记录、物理隔离、门禁系统;现场查看:
进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。
调研访谈:
设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统;现场查看:
设备固定和标识、监控报警系统安全材料、测试和验收报告。
调研访谈:
安装避雷装置、专业地线、防雷感应器;现场查看:
机房防雷设计/验收文档、接地设计/验收文档,交流地线和防雷设备调研访谈:
自动报警灭火设备、耐火材料、物理防火隔离;现场查看:
自动消防运行、报警、维护记录,机房防火设计/验收文档。
调研访谈:
机房内有无上下水,防水和防漏措施;现场查看:
机房防水和防潮设计/验收文档,地下积水的转移与渗透的措施。
调研访谈:
接地防静电措施,采用防静电地板;现场查看:
防静电措施文档,防静电地板验收文档。
调研访谈:
温、湿度自动调节设施,专人负责;现场查看:
温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。
调研访谈:
部署稳压器和过电压防护设备,UPS和市电冗余;现场查看:
电源设备的检查和维护记录,备用供电系统运行记录,市电切换记录。
调研访谈:
安全接地,关键设备和磁介质实施电磁屏蔽;现场查看:
查看安全接地、电源线和通讯线隔离,电磁屏蔽容器。
物理安全测评基本要求和实现方法基
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 测评 完全 过程 非常 全面