信息安全等級(jí)保護(hù)測(cè)評(píng)

商品介紹

1、測(cè)評(píng)目的
? ? ? ?通過(guò)對(duì)單位被測(cè)系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)設(shè)備、服務(wù)器群以及應(yīng)用軟件系統(tǒng)實(shí)施等級(jí)保護(hù)測(cè)評(píng)，明確該系統(tǒng)的安全建設(shè)現(xiàn)狀，找出存在的安全風(fēng)險(xiǎn)，分析安全建設(shè)差距，提出安全整改建議，并以此為基礎(chǔ)，進(jìn)一步制定安全建設(shè)整改方案，完善保護(hù)措施，使該系統(tǒng)滿足我國(guó)關(guān)于等級(jí)保護(hù)相應(yīng)級(jí)別的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高單位的安全意識(shí)，增強(qiáng)網(wǎng)絡(luò)的抗攻擊的能力，保證被測(cè)系統(tǒng)正常運(yùn)轉(zhuǎn)。
2、參照標(biāo)準(zhǔn)
測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開(kāi)展工作，依據(jù)標(biāo)準(zhǔn)包括但不限于如下國(guó)家標(biāo)準(zhǔn)：

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）
《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB/T 22240-2008）
《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010 ）
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）
《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2012）
《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T 28449-2012）
《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）
《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》（GAT 390-2002）
《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T 20269-2006）
《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）
《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2010 ）
《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）
3、等級(jí)測(cè)評(píng)過(guò)程
? ? ? ?等級(jí)保護(hù)分為六個(gè)可操作性步驟：定級(jí)、備案、初次測(cè)評(píng)、建設(shè)整改、二次測(cè)評(píng)、監(jiān)督檢查，具體工作過(guò)程中可能存在交叉現(xiàn)象，以下為具體的工作步驟和工作內(nèi)容。

3.1信息系統(tǒng)定級(jí)
? ? ? ? 首先梳理單位的現(xiàn)有系統(tǒng)，確定各系統(tǒng)的服務(wù)對(duì)象、系統(tǒng)邊界、設(shè)備設(shè)施組成情況，根據(jù)系統(tǒng)遭受破壞后的影響范圍和損害程度，按照《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360 號(hào)）文件要求，完成各系統(tǒng)的定級(jí)工作，定級(jí)遵循“自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”的原則，首先自己確定系統(tǒng)的數(shù)量和等級(jí)，對(duì)于不太確定的系統(tǒng)級(jí)別，可聘請(qǐng)河北省等級(jí)保護(hù)專(zhuān)家小組人員進(jìn)行專(zhuān)家評(píng)審，如果單位有主管部門(mén)，確定級(jí)別后報(bào)上級(jí)主管單位批準(zhǔn)，最終的定級(jí)情況上報(bào)公安機(jī)關(guān)進(jìn)行審核和備案。

3.2備案
? ? ? ?對(duì)于第二級(jí)以上信息系統(tǒng)，需要填寫(xiě)《定級(jí)報(bào)告》和《備案材料》，并將材料在等級(jí)確定后 30 日內(nèi)，由其運(yùn)營(yíng)、使用單位到單位所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后 30 日內(nèi)， 由其運(yùn)營(yíng)、使用單位到單位所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

3.3初次測(cè)評(píng)
? ? ? ? 信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)選擇符合相應(yīng)法規(guī)規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
? ? ? ? 對(duì)被測(cè)系統(tǒng)，參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008） 從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和安全管理等層面進(jìn)行差距分析，依據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2010 ），對(duì)系統(tǒng)進(jìn)行初次安全評(píng)估。通過(guò)對(duì)系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級(jí)保護(hù)基本要求的差距，提出安全整改建議，以指導(dǎo)后續(xù)安全整改工作。測(cè)評(píng)內(nèi)容：物理環(huán)境測(cè)評(píng)：包括位置、訪問(wèn)控制、防盜竊防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電磁防護(hù)等內(nèi)容。網(wǎng)絡(luò)系統(tǒng)測(cè)評(píng)：包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等內(nèi)容。主機(jī)與數(shù)據(jù)庫(kù)測(cè)評(píng)：身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等內(nèi)容。應(yīng)用系統(tǒng)測(cè)評(píng)：包括應(yīng)用系統(tǒng)身份鑒別、應(yīng)用系統(tǒng)訪問(wèn)控制、應(yīng)用系統(tǒng)安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等內(nèi)容。數(shù)據(jù)及備份恢復(fù)測(cè)評(píng)：包括數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等內(nèi)容。安全管理測(cè)評(píng)：涵蓋管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面。

3.4建設(shè)整改
? ? ? 單位按照《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43 號(hào)）、《關(guān)于開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429 號(hào)）等有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，制定安全管理制度、落實(shí)安全責(zé)任，建議安全技術(shù)設(shè)施， 落實(shí)安全技術(shù)措施。通過(guò)安全建設(shè)整改，確保信息系統(tǒng)通過(guò)相應(yīng)級(jí)別的安全測(cè)評(píng)。

3.5二次測(cè)評(píng)
? ? ??此階段是等級(jí)測(cè)評(píng)完整實(shí)施階段，通過(guò)對(duì)整改后的系統(tǒng)進(jìn)行分析和梳理，再次實(shí)施等級(jí)測(cè)評(píng)，記錄訪談檢查結(jié)果，進(jìn)行綜合分析，梳理安全風(fēng)險(xiǎn)，提出安全整改建議，測(cè)評(píng)結(jié)束后，按照《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》（公信安[2009]1487）編寫(xiě)等級(jí)測(cè)評(píng)報(bào)告。取得《信息系統(tǒng)信息安全等級(jí)保護(hù)備案證明》和加蓋測(cè)評(píng)專(zhuān)用章的最終測(cè)評(píng)報(bào)告。