• 等級保護咨詢及評估
    等級保護咨詢及評估
    安全服務
    等級保護咨詢及評估
首頁 > 安全服務 > 等級保護咨詢及評估...
服務概述

信息系統安全等級保護測評是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規範和技術标準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。等級保護測評是标準符合性評判活動,即依據信息安全等級保護的國家标準或行業标準,按特定方法對信息系統安全防護能力進行科學公正的綜合評判過程。

政策依據

《中(zhōng)華人民共和國計算機信息系統安全保護條例》([1994]國務院令第147号)

《關于信息安全等級保護工(gōng)作的實施意見》(公通字[2004]66号)

《信息安全等級保護備案實施細則》(公信安[2007]1360号)

《關于開(kāi)展全國重要信息系統安全等級保護定級工(gōng)作的通知(zhī)》(公通字[2007]861号)

《信息安全等級保護管理辦法》(公通字[2007]43号)

《關于開(kāi)展信息系統等級保護安全建設整改工(gōng)作的指導意見》(公信安[2009]1429号)

《關于推動信息安全等級保護測評體(tǐ)系建設和開(kāi)展等級測評工(gōng)作的通知(zhī)》(公信安[2010]303号

技術标準

GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》

GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》

GB/T 20984-2007《信息安全技術 信息安全風險評估規範》

GB 17859-1999《計算機信息系統安全保護等級劃分(fēn)标準》

GB/T 28449-2018《信息安全技術 網絡安全等級保護測評過程指南(nán)》

GB/T 36627-2018《信息安全技術 網絡安全等級保護測評評估技術指南(nán)》

測評過程

等級測評過程分(fēn)爲四個測評階段:

測評準備、方案編制、現場測評及分(fēn)析和報告編制測評雙方之間的溝通與洽談貫穿整個等級測評過程


  • 測評準備
    本階段是開(kāi)展等級測評工(gōng)作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工(gōng)作是否充分(fēn)直接關系到後續工(gōng)作能否順利開(kāi)展。本階段的主要任務是掌握被測系統的詳細情況,爲實施測評做好文檔及測試工(gōng)具等方面的準備。
  • 方案編制
    本階段是開(kāi)展等級測評工(gōng)作的關鍵,爲現場測評提供最基本的文檔和指導方案。本階段的主要任務是開(kāi)發與被測信息系統相适應的測評内容、測評實施手冊等,形成測評方案。
  • 現場測評
    本階段是開(kāi)展等級測評工(gōng)作的核心活動。主要任務是依據測評方案的總體(tǐ)要求,嚴格執行測評實施手冊,分(fēn)步實施所有測評項目,包括單項測評和系統整體(tǐ)測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。
  • 分(fēn)析與報告編制
    本階段是給出等級測評工(gōng)作結果的活動,是總結被測系統整體(tǐ)安全保護能力的綜合評價活動。本階段的主要任務是根據現場測評結果和GB/T 22239-2019的有關要求,通過單項測評結果判定和系統整體(tǐ)測評分(fēn)析等方法,分(fēn)析整個系統的安全保護現狀與相應等級的保護要求之間的差距,綜合評價被測信息系統保護狀況,并形成測評報告文本。

測評方法

測評方法一(yī)般包括訪談、文檔審查、配置檢查、工(gōng)具測試和實地察看五個方面


  • 訪談
    測評人員(yuán)與被測系統有關人員(yuán)(個人/群體(tǐ))進行交流、讨論等活動,獲取相關證據,了解有關信息。在訪談範圍上,不同等級信息系統在測評時有不同的要求,一(yī)般應基本覆蓋所有的安全相關人員(yuán)類型,在數量上可以抽樣。
  • 文檔審查
    1)檢查GB/T 22239-2019中(zhōng)規定的必須具有的制度、策略、操作規程等文檔是否齊備。
    2)檢查是否有完整的制度執行情況記錄,如機房出入登記記錄、電(diàn)子記錄、高等級系統的關鍵設備的使用登記記錄等。
    3)對上述文檔進行審核與分(fēn)析,檢查他們的完整性和這些文件之間的内部一(yī)緻性。
  • 配置檢查
    1)根據測評結果記錄表格内容,利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正确,是否與文檔、相關設備和部件保持一(yī)緻,對文檔審核的内容進行核實(包括日志(zhì)審計等)。
    2)如果系統在輸入無效命令時不能完成其功能,将要對其進行錯誤測試。
    3)針對網絡連接,應對連接規則進行驗證。
  • 工(gōng)具測試
    1)根據測評方案,利用技術工(gōng)具對系統進行測試,包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協議分(fēn)析等。
    2)備份測試結果。
  • 實地察看
    1)根據被測系統的實際情況,測評人員(yuán)到系統運行現場通過實地的觀察人員(yuán)行爲、技術設施和物(wù)理環境狀況判斷人員(yuán)的安全意識、業務操作、管理程序和系統物(wù)理環境等方面的安全情況,測評其是否達到了相應等級的安全要求。

×
隐私條款
×

此處放(fàng)标題

内容暫無















免費(fèi)咨詢熱線:400-880-5062
電(diàn)話(huà):86-21-51905999
傳真:86-21-51905959
郵編:201203
地址:上海市浦東新區張江高科技園區郭守敬路498号20号樓
我(wǒ)同意