等级保护测评完全过程讲课的资料.ppt

等级保护测评过程 以三级为例 主题 等级保护测评概述 2」等级保护测评方法论 等级保护测评内容与方法 等保测评安全措施 等保测评概述 等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度绐出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议 组合分析 1、等级测评是测评机构依据国家信息安全等级保护制度规定 ◆《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》、《信 总安全等级保护管理办法》 2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) ◆定级标准:《信息系统安全保护等级定级指南》、《计算机信息系统安全保护等级划分准 ◆建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安 全设计技术要求》; 测评标准:《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《信息系统 安全等级保护实施指南》; 管理标准:《信息系统安全管理要求》、《信息系统安全工程管理要求》。 3、运用科学的手段和方法: 采用6种方式,逐步深化的测试手段 ◆调研访谈(业务、资产、安全技术和安全管理); ◆查看资料(管理制度、安全策略) ◆现场观察(物理环境、物理部署) ◆查看配置(主机、网络、安全设备) ◆技术測试(漏洞扫描) ◆评价(安全测评、符合性评价)。 组合分析 4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特 ◆具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某 个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; ◆具有信息系统的基本要萦。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象 ◆承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备 5、采用安 余想括 和安全管理测评方式 ◆安全技术 物理安全、网络安全、主机安全、应用安全、数据安全 ◆安全管理 安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运維管理。 6、对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出 是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议 ◆符合程度:综合分析具体指标符合性判断,给出抽象指标符合性判断结果,汇总所有抽象指标符合判断,给出安全 等级满足与否的结论; ◆安全等级结论:结合受测系统符合性程度,判断受测系统是否满足所定安全等级的结论 安全整改建议:提出安全整改建议,汇总、分析所有不符合项对应的改进建议,组合成可单独执行的整改建议。