网络安全监测2.ppt

* * * * * * * * * why, when, which, who, what, how; * * 1999 GB17859 《计算机信息系统安全保护等级划分准则》 2007年《信息系统安全保护等级定级指南、实施指南、基本要求》 * * * * 信息安全管理体系 ISMS * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全测评与风险评估 测评准备 用户(指被测单位)向测评机构提交测评申请书(表); 申请单位基本信息 单位（部门）名称 上级主管部门名称/法人代表姓名 信息系统应用领域（电子政务、商务、企业等） 单位授权人姓名及联系方式（电话、邮件地址等） 受理单位 审批意见 由测评机构负责人或授权代表简述是否受理的意见 受理人签字 年 月 日 表: 测评申请表模板 * 信息安全测评与风险评估 测评准备 测评机构对用户提交的资料进行初步审核; 测评机构进行必要的资料审核之后，与用户签署安全服务协议书(合同); 服务协议(Service Level Agreement, SLA)：指申请测评的用户(甲方)与测评机构(乙方)签署的具有法律效益的文件。 SLA规定了甲乙双方在此次测评活动中的责任、权利和义务。 * 信息安全测评与风险评估 测评准备 XX信息系统安全服务协议书 签约方 甲方：XX机构（被测单位名称） 乙方：XX信息安全测评机构 协议书内容 一条 项目名称 二条 项目目标 三条 项目内容 四条 甲方义务 五条 乙方义务 六条 违约责任 七条 争议解决办法 八条 … 甲方代表签字（章） 乙方代表签字（章） 年 月 日 年 月 日 * 信息安全测评与风险评估 测评准备 与用户签署保密协议书。 保密协议(Confidential Agreement)：指申请测评的用户(甲方)与测评机构(乙方)签署的具有法律效益的文件。 保密协议规定了甲乙双方在此次测评活动中保守对方业务、技术和工作等秘密的承诺。 * 信息安全测评与风险评估 测评准备 XX信息系统安全服务保密协议 甲方：XX机构（被测单位名称） 乙方：XX信息安全测评机构 甲乙双方根据国家和地方有关规定，就本次安全服务工作所涉及的核心业务机密达成如下安全服务保密协议 合同内容 一条 保密内容和范围 二条 双方的权利和义务 三条 协议有效期 四条 免责条款 五条 违约责任及解决办法 六条 … 甲方代表签字（章） 乙方代表签字（章） 年 月 日 年 月 日 * 信息安全测评与风险评估 测评准备 向用户提交测评工作计划。 XX信息安全测评机构 XX信息系统安全服务工作计划 一章 工作目标 二章 工作范围 三章 工作重点 四章 进度安排 五章 保障措施 六章 约束条件 七章 计划审批 八章 … 附录 A 测评依据 1 国家标准一 2 国家标准二 3 … 附录B 被测单位与测评单位简介 附录C 术语及名词缩写 * 信息安全测评与风险评估 主要内容 为何测评 怎样测评 测评什么 测评准备 何时测评 谁来测评 * 信息安全测评与风险评估 测评案例 – “天网”工程 背景：巴山市电子政务信息系统 - “天网”集政府内部办公和政府部门之间协同办公(G2G)、政府面向企业服务(G2E)以及政府面向社会公众服务(G2P)等功能于一身。 G2G：满足政府内部办公和政府部门之间协同办公业务需要。例：为解决巴山市中低等收入居民住房困难情况，该市市长签发了一份关于本市居民“旧房改造工程”的电子公文，这份公文将通过“天网”系统下达到市财政局(政府拨款)、市国土资源局(房屋用地审批)、市社会与劳动保障局(享受此项福利的市民资格审批)、市建设委员会(建设规划审批)、市林业局(住宅小区绿化工程主管部门)等等该市政府下属各部门。 在本书中，“天网”的G2G子系统属于内网。 * 信息安全测评与风险评估 测评案例 – “天网”工程 背景 G2E：满足政府面向企业服务的需要。例子：假设一家国际著名IT企业要入驻该市高新技术开发区。那么该企业将通过“天网”系统办理相关手续或咨询相关问题，涉及的政府部门可能包括：市工商管理局(办理营业执照)、市地方税务局(办理税收手续并咨询相关的优惠政策)、市信息产业局(主管高新技术)、市公安局(外籍高层管理人士出入境管理)、市教育局(咨询本地大学相关专业学生情况、外籍员工子女入学情况)、海关总署驻本市分支机构(进入口主管部门)等等。 在本书中，“天网”的G2E子系统属于外网。 * 信息