等保測(cè)評(píng)概述����,濟(jì)南等保測(cè)評(píng)工作流程
等保測(cè)評(píng)概述
等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定�,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,運(yùn)用科學(xué)的手段和方法,對(duì)處理特定應(yīng)用的信息系統(tǒng)�,采用安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式,對(duì)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估����,判定受測(cè)系統(tǒng)的技術(shù)和管理級(jí)別與所定安全等級(jí)要求的符合程度,基于符合程度給出是否滿(mǎn)足所定安全等級(jí)的結(jié)論�����,針對(duì)安全不符合項(xiàng)提出安全整改建議��。
科學(xué)的手段和方法
采用6種方式��,逐步深化的測(cè)試手段
· 調(diào)研訪談(業(yè)務(wù)���、資產(chǎn)�����、安全技術(shù)和安全管理)�;
· 查看資料(管理制度����、安全策略);
· 現(xiàn)場(chǎng)觀察(物理環(huán)境���、物理部署)��;
· 查看配置(主機(jī)���、網(wǎng)絡(luò)、安全設(shè)備)�����;
· 技術(shù)測(cè)試(漏洞掃描);
· 評(píng)價(jià)(安全測(cè)評(píng)�、符合性評(píng)價(jià))。
安全技術(shù)測(cè)評(píng):
安全技術(shù)測(cè)評(píng)包括:物理安全���、網(wǎng)絡(luò)安全�����、主機(jī)安全�����、應(yīng)用安全�����、數(shù)據(jù)安全�。
安全管理測(cè)評(píng):
安全管理測(cè)評(píng)包括:安全管理制度�����、安全管理機(jī)構(gòu)��、人員安全管理�����、系統(tǒng)建設(shè)管理�����、系統(tǒng)運(yùn)維管理���。
信息系統(tǒng)全生命周期
信息系統(tǒng)全生命周期分為“信息系統(tǒng)定級(jí)�、總體安全規(guī)劃���、安全設(shè)計(jì)與實(shí)施�����、安全運(yùn)行維護(hù)��、信息系統(tǒng)終止”等五個(gè)階段�。
信息系統(tǒng)定級(jí)
定級(jí)備案是信息安全等級(jí)保護(hù)的首要環(huán)節(jié)�。信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、專(zhuān)家評(píng)審�、主管部門(mén)審批、 關(guān)審核”的原則進(jìn)行���。在等級(jí)保護(hù)工作中�����,信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)�����,誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則開(kāi)展工作�����,并接受信息安全監(jiān)管部門(mén)對(duì)開(kāi)展等級(jí)保護(hù)工作的監(jiān)管����。
總體安全規(guī)劃
總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況��、信息系統(tǒng)承載業(yè)務(wù)情況�,通過(guò)分析明確信息系統(tǒng)安全需求,設(shè)計(jì)合理的��、滿(mǎn)足等級(jí)保護(hù)要求的總體安全方案����,并制定出安全實(shí)施計(jì)劃���,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已運(yùn)營(yíng)(運(yùn)行)的信息系統(tǒng)�����,需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距����。
安全設(shè)計(jì)與實(shí)施
安全設(shè)計(jì)與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)安全總體方案的要求�����,結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃����,分期分步落實(shí)安全措施
安全運(yùn)行維護(hù)
安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié),涉及的內(nèi)容較多�,包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立,環(huán)境����、資產(chǎn)、設(shè)備����、介質(zhì)的管理��,網(wǎng)絡(luò)�����、系統(tǒng)的管理��,密碼�、密鑰的管理���,運(yùn)行��、變更的管理���,安全狀態(tài)監(jiān)控和安全事件處置,安全審計(jì)和安全檢查等內(nèi)容��。本標(biāo)準(zhǔn)并不對(duì)上述所有的管理過(guò)程進(jìn)行描述��,希望全面了解和控制安全運(yùn)行與維護(hù)階段各類(lèi)過(guò)程的本標(biāo)準(zhǔn)使用者可以參見(jiàn)其它標(biāo)準(zhǔn)或指南
信息系統(tǒng)終止
信息系統(tǒng)終止階段是等級(jí)保護(hù)實(shí)施過(guò)程中的最后環(huán)節(jié)�����。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)���,正確處理系統(tǒng)內(nèi)的敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的�����。在信息系統(tǒng)生命周期中���,有些系統(tǒng)并不是真正意義上的廢棄,而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng)�,對(duì)于這些信息系統(tǒng)在終止處理過(guò)程中應(yīng)確保信息轉(zhuǎn)移�����、設(shè)備遷移和介質(zhì)銷(xiāo)毀等方面的安全
實(shí)施的基本流程
在安全運(yùn)行與維護(hù)階段��,信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整�,而系統(tǒng)的安全保護(hù)等級(jí)并未改變,應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入安全設(shè)計(jì)與實(shí)施階段��,重新設(shè)計(jì)����、調(diào)整和實(shí)施安全措施��,確保滿(mǎn)足等級(jí)保護(hù)的要求���;但信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級(jí)變化時(shí),應(yīng)從安全運(yùn)行與維護(hù)階段進(jìn)入信息系統(tǒng)定級(jí)階段����,重新開(kāi)始一輪信息安全等級(jí)保護(hù)的實(shí)施過(guò)程。
