5—信息安全等级保护检查（霍珊珊）.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息系统安全等级保护技术措施 数据安全和备份恢复-3 提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放 提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地 采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障 提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统高可用性 谢谢！ 信息产业部计算机安全技术检测中心 霍珊珊 TelEmail:huoshanshan@ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-1 是否按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-2 是否按照《管理办法》规定的条件选择技术测评机构（管理办法第二十二条） 在中华人民共和国境内注册成立（港澳台地区除外） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外） 从事相关检测评估工作两年以上，无违法犯罪记录 工作人员仅限于中国公民 法人及主要业务、技术人员无犯罪记录 使用的技术装备、设施应当符合本办法对信息安全产品的要求 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-2 是否按照《管理办法》规定的条件选择技术测评机构 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度 对国家安全、社会秩序、公共利益不构成威胁。 关于发布《全国信息安全等级保护测评机构推荐目录》的公告 全国信息安全等级保护测评机构推荐目录 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-3 是否要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。 等级测评机构推荐证书 等级测评师证书 等级测评机构能力评估合格证书 信息安全等级保护检查工作规范 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-4 是否与测评机构签订保密协议 6-5 是否要求测评机构制定技术检测方案 确定测评对象、测评指标、测评工具接入点 6-6 是否对技术检测过程进行监督，采取了哪些监督措施 6-7 是否出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正 信息安全等级保护检查工作规范 第七条 检查项目 （六）聘请测评机构开展技术测评工作情况 6-8 是否根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改 信息安全等级保护检查工作规范 第七条 检查项目 （七）定期自查情况 7-1 是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查 7-2 经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位是否进一步进行安全建设整改 信息系统安全等级保护技术措施 物理安全 主机安全 网络安全 应用安全 数据安全 信息系统安全等级保护技术措施 物理安全 -1 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁 机房出入口应安排专人值守，控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员 信息系统安全等级保护技术措施 物理安全 -2 防盗报警装置 设备在机架内固定，有明显标记 防雷击、防火、防水防潮 防静电、温湿度控制 备用供电系统 电磁屏蔽 信息系统安全等级保护技术措施 网络安全 -1 网络设备业务处理能力和带宽满足高峰期需要 建立安全的访问路径 根据工作职能、重要性和涉及信息的重要程度划分安全域 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机 信息系统安全等级保护技术措施 网络安全 -2 边界处部署访问