信息安全等級測評是測評機構依據國家信息安全等級保護制度規定,受有關單位委托,具有資質的等級保護測評機構按照有關管理規范和技術標準,運用科學的手段和方法,對處理特定應用的信息系統,采用安全技術測評和安全管理測評方式,對保護狀況進行檢測評估,判定受測系統的技術和管理級別與所定安全等級要求的符合程度,基于符合程度給出是否滿足所定安全等級的結論,針對安全不符合項提出安全整改建議。
等級保護完全實施過程
★信息系統定級
定級備案是信息安全等級保護的首要環節。信息系統定級工作應按照“自主定級、專家評審、主管部門審批、公安機關審核”的原則進行。在等級保護工作中,信息系統運行使用單位和主管部門按照“誰主管誰負責,誰運營誰負責”的原則開展工作,并接受信息安全監管部門對開展等級保護工作的監管。
★總體安全規劃
總體安全規劃階段的目標是根據信息系統的劃分情況、信息系統的定級情況、信息系統承載業務情況,通過分析明確信息系統安全需求,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施計劃,以指導后續的信息系統安全建設工程實施。對于已運營(運行)的信息系統,需求分析應當首先分析判斷信息系統的安全保護現狀與等級保護要求之間的差距。
★安全設計與實施
安全設計與實施階段的目標是按照信息系統安全總體方案的要求,結合信息系統安全建設項目計劃,分期分布落實安全措施
★安全運行維護
安全運行與維護是等級保護實施過程中確保信息系統正常運行的必要環節,涉及的內容較多,包括安全運行與維護機構和安全運行與維護機制的建立,環境、資產、設備、介質的管理,網絡、系統的管理,密碼、秘鑰的管理,運行、變更的管理,安全狀態監控和安全事件處理,安全審計和安全檢查等內容。
★信息系統終止
信息系統終止階段是等級保護實施過程中最后環節。當信息系統被轉移、終止或廢棄時,正確處理系統內的敏感信息對于確保機構信息資產的安全是至關重要的。在信息系統生命周期中,有些系統并不是真正意義上的廢棄,而是改進技術活轉變業務到新的信息系統,對于這些信息系統再終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全。
等級測評的工作流程
★ 測評對象確定:根據已經了解到的被測系統信息,分析整個被測系統及其涉及的業務應用系統,確定出本次測評的測評對象。
★ 測評指標確定:根據已經了解到的被測系統定級結果,確定出本次測評的測評指標。
★ 測評工具接入點確定:確定需要進行工具測試的測評對象,選擇測試路徑,根據測試路徑確定測試工具的接入點。
★ 測評內容確定:確定現場測評的具體實施內容,即單元測評內容。
★ 測評實施手冊開發:編制測評實施手冊,詳細描述現場測評的工具、方法和操作步驟等,具體指導測評人員如何進行測評活動。
現場測評階段
現場測評實際上就是單項測評,分別從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理五個方面分別進行。
★ 物理安全:通過人員訪談、文檔審查和實地察看的方式測評信息系統的物理安全保障情況。主要涉及對象為物理基礎設施。在內容上,物理安全層面測評實施過程涉及10個測評單元,包括:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。
★ 網絡安全:通過訪人員訪談、配置檢查和工具測試的方式測評信息系統的網絡安全保障情況。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構。在內容上,網絡安全層面測評實施過程涉及7個測評單元,包括:結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、網絡設備防護、惡意代碼防范(針對三級系統)。
★ 主機安全:通過人員訪談、配置檢查和工具測試的方式測評信息系統的主機安全保障情況。主要涉及對象為各類服務器的操作系統、數據庫管理系統。在內容上,主機系統安全層面測評實施過程涉及7個測評單元,包括:身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、剩余信息保護(針對三級系統)。
★ 應用安全:通過人員訪談、配置檢查和工具測試的方式測評信息系統的應用安全保障情況,主要涉及對象為各類應用系統。在內容上,應用安全層面測評實施過程涉及9個測評單元,包括:身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制、剩余信息保護(針對三級系統)、抗抵賴(針對三級系統)。
★ 數據安全:通過人員訪談、配置檢查的方式測評信息系統的數據安全保障情況,主要涉及對象為信息系統的管理數據及業務數據等。在內容上,數據安全層面測評實施過程涉及3個測評單元,包括:數據完整性、數據保密性、備份和恢復。
★ 安全管理制度:通過人員訪談、文檔審查和實地察看的方式測評信息系統的安全管理制度情況。在內容上,安全管理制度方面測評實施過程涉及3個測評單元,包括:管理制度、制定和發布、評審和修訂。
★ 安全管理機構:通過人員訪談、文檔審查的方式測評信息系統的安全管理機構情況。在內容上,安全管理機構方面測評實施過程涉及5個測評單元,包括:崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。
★ 人員安全管理:通過人員訪談、文檔審查的方式測評信息系統的人員安全管理情況。在內容上,人員安全管理方面測評實施過程涉及5個測評單元,包括:人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理。
★ 系統建設管理:通過人員訪談、文檔審查的方式測評信息系統的系統建設管理情況。在內容上,系統建設管理方面測評實施過程涉及11個測評單元,包括:系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、安全服務商選擇、系統備案(針對三級系統)、系統測評(針對三級系統)。
★ 系統運維管理:通過人員訪談、文檔審查的方式測評信息系統的系統運維管理情況。在內容上,系統運維管理方面測評實施過程涉及13個測評單元,包括:環境管理、資產管理、介質管理、設備管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、監控管理和安全管理中心(針對三級系統)。
分析與報告編制階段
★ 單項測評結果分析:針對測評指標中的單個測評項,結合具體測評對象,客觀、準確地分析測評證據。
★ 單元測評結果判定:將單項測評結果進行匯總,分別統計不同測評對象的單項測評結果,從而判定單元測評結果,并以表格的形式逐一列出。
★ 整體測評:針對單項測評結果的不符合項,采取逐條判定的方法,從安全控制間、層面間和區域間出發考慮,給出整體測評的具體結果,并對系統結構進行整體安全測評。
★ 風險分析:據等級保護的相關規范和標準,采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測系統安全造成的影響。
★ 等級測評結論形成:在測評結果匯總的基礎上,找出系統保護現狀與等級保護基本要求之間的差距,并形成等級測評結論。 測評報告編制:根據等級測評結論,編制測評報告,包括概述、被測系統描述、測評對象說明、測評指標說明、測評內容和方法說明、單元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、整改建議等。
【全文完】版權聲明:
1、陜西弈聰網站內容中凡注明“來源:XXX(非陜西弈聰網站)”的作品,轉載自其它媒體,轉載目的在于傳遞更多信息,其中涉及的網站建設,網站優化,百度關鍵詞優化,西安軟件開發等技術細節并不代表本站贊同支持其觀點,并不對其真實性負責。對于署名“陜西弈聰”的作品系本站版權所有,任何人轉載請署名來源,否則陜西弈聰將追究其相關法律責任。
2、本站內容中未聲明為“原創”的內容可能源自其它網站,但并不代表本站支持其觀點,對此帶來的法律糾紛及其它責任與我方無關。如果此內容侵犯了您的權益,請聯系我方進行刪除。