等级保护测评_完全过程（非常全面).ppt

等级保护测评过程 以三级为例 主题一 等级保护测评方法论 等保测评安全措施 等级保护测评概述 等级保护测评内容与方法 等保测评概述 等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。 组合分析 1、等级测评是测评机构依据国家信息安全等级保护制度规定： 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信息安全等级保护管理办法》。 2、受有关单位委托，按照有关管理规范和技术标准（相关标准关系图参见图1、图2） 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ； 建设标准：《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》； 测评标准：《信息系统安全等级保护测评要求》 、 《信息系统安全等级保护测评过程指南》 、 《信息系统安全等级保护实施指南》； 管理标准：《信息系统安全管理要求》、 《信息系统安全工程管理要求》。 3、运用科学的手段和方法： 采用6种方式，逐步深化的测试手段 调研访谈（业务、资产、安全技术和安全管理）； 查看资料（管理制度、安全策略）； 现场观察（物理环境、物理部署）； 查看配置（主机、网络、安全设备）； 技术测试（漏洞扫描）； 评价（安全测评、符合性评价）。 组合分析 4、对处理特定应用的信息系统（查阅定级指南，哪些应用系统定级） 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位； 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象； 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 5、采用安全技术测评和安全管理测评方式： 安全技术测评包括：物理安全、网络安全、主机安全、应用安全、数据安全； 安全管理测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。 6、对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。 符合程度：综合分析具体指标符合性判断，给出抽象指标符合性判断结果，汇总所有抽象指标符合判断，给出安全等级满足与否的结论； 安全等级结论：结合受测系统符合性程度，判断受测系统是否满足所定安全等级的结论； 安全整改建议：提出安全整改建议，汇总、分析所有不符合项对应的改进建议，组合成可单独执行的整改建议。 主题二 等级保护测评方法论 等保测评安全措施 等级保护测评概述 等级保护测评内容与方法 等级保护完全实施过程 信息系统定级 安全总体规划 安全设计与实施 安全运行维护 信息系统终止 安全等级测评 信息系统备案 安全整改设计 等级符合性检查 应急预案及演练 局部调整 等级变更 信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。 信息系统定级 定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。 总体安全规划 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续