等级保护测的评讲解.ppt

等级保护测评流程---各阶段提交物 * 前期沟通 测评实施 形成报告 序号 名称 测评指标子类 网络结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 1 IOS_路由器_内部_1 部分符合 4/7 符合 0/4 符合 0/6 符合 0/2 不符合 2/2 不符合 2/2 部分符合 6/9 2 IOS_路由器_VPN_1 … … … … … … … … … 等级测评实施 分析系统差距 单元测评结果 汇总表 等级保护测评流程---各阶段提交物 * 前期沟通 测评实施 形成报告 编制安全测评报告 序号 分类 子类 符合情况 符合 部分符合 不符合 1 物理安全 物理位置的选择 　 ü　 2 物理访问控制 ü 　 　 3 防盗窃和防破坏 　 ü 　 4 防雷击 ü 　 　 5 防火 ü 　 　 6 防水和防潮 ü 　 　 7 防静电 ü 　 　 8 温湿度控制 ü 　 　 9 电力供应 ü 　 　 10 电磁防护 　 ü 　 11 网络安全 结构安全 12 访问控制 13 安全审计 14 边界完整性检查 15 入侵防范 16 恶意代码防范 17 网络设备防护 18 主机安全 身份鉴别 19 安全标记 20 访问控制 21 可信路径 22 安全审计 23 剩余信息保护 24 入侵防范 25 恶意代码防范 26 资源控制 27 应用安全 身份鉴别 28 安全标记 29 访问控制 30 可信路径 31 安全审计 32 剩余信息保护 33 通信完整性 34 通信保密性 35 抗抵赖 36 软件容错 37 资源控制 38 数据安全及备份恢复 数据完整性 39 数据保密性 40 备份和恢复 41 安全管理制度 管理制度 42 制定和发布 43 评审和修订 44 安全管理机构 岗位设置 45 人员配备 46 授权和审批 47 沟通和合作 48 审核和检查 49 人员安全管理 人员录用 50 人员离岗 51 人员考核 52 安全意识教育和培训 53 外部人员访问管理 54 系统建设管理 系统定级 55 安全方案设计 56 产品采购和使用 57 自行软件开发 58 外包软件开发 59 工程实施 60 测试验收 61 系统交付 62 系统备案 63 等级测评 64 安全服务商选择 65 系统运维管理 环境管理 66 资产管理 67 介质管理 68 设备管理 69 监控管理和安全管理中心 70 网络安全管理 71 系统安全管理 72 恶意代码防范管理 73 密码管理 74 变更管理 75 备份与恢复管理 76 安全事件处置 77 应急预案管理 测评结果 统计表 等级保护测评流程---各阶段提交物 * 前期沟通 测评实施 形成报告 编制安全测评报告 序号 分类 子类 符合情况 符合 部分符合 不符合 1 物理安全 物理位置的选择 　 ü　 2 物理访问控制 ü 　 　 3 防盗窃和防破坏 　 ü 　 4 防雷击 ü 　 　 5 防火 ü 　 　 6 防水和防潮 ü 　 　 7 防静电 ü 　 　 8 温湿度控制 ü 　 　 9 电力供应 ü 　 　 10 电磁防护 　 ü 　 测评结果 统计表 等级保护测评流程---各阶段提交物 * 前期沟通 测评实施 形成报告 制定安全测评报告 1、测评项目概述 2、被测系统情况 3、等级测评范围与方法 4、等级测评内容 5、等级测评结果 6、风险分析和评价 7、系统安全建设、整改建议 附：信息系统安全等级保护备案表 安全测评报告 * 主要内容 等级保护测评简介 等级保护测评内容 等级保护测评流程 等级保护测评方式、技术和工具 等级保护相关政策介绍 等级保护测评方式、技术和工具 访谈 检查 测试 访谈是测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 在访谈的广度上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样；在访谈的深度上，应较全面，需包含通用和高级的问题以及一些有难度和探索性的问题。 等级保护测评方式、技术和工具 访谈 检查 测试 检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 在检查的广度上，应基本覆盖所有的对象种类（文档、机制等），数量上可以抽样；在检查的深度上，应较为全面，要有详细、彻底的分析、观察和研究。 等级保护测评方式、技术和工具 访谈 检查 测试 测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明信息系统安