Ⅰ 信息系統安全等級保護定級工作是一項什麼樣的工作需要做哪些工作
你好,我國實行網路安全等級保護制度,網路運營單位都要按要求落實等級保護工作。什麼是等級保護呢?簡而言之,就是對信息和信息載體按照重要性等級分級別進行保護。就我國目前的情況而言,信息和信息載體的保護等級分為五個級別,從一到五級別逐漸升高。網路運營單位的信息和信息載體屬於哪一個等級,就要按照這個等級的要求來做等級保護工作。
等級保護需要做哪些工作呢?
一般來說,等級保護工作包含定級、備案、安全建設、等級測評、監督檢查五個環節,下面我將依照等保2.0標准,對三級等保辦理流程做詳細解讀:
1、系統定級
等保辦理的第一步是確定企業信息系統的安全保護等級。根據等保2.0定級指南,雲計算、物聯網、工業控制系統、採用移動互聯技術的系統、通信網路設施以及數據資源等系統屬於強制定級備案的范疇。其他團體,比如公益組織和中小私營企業,原則上也要進行定級備案。
同時,根據相關規定,定級對象具有以下三大基本特徵:
①具有確定的主要安全責任主體;
②承載相對獨立的業務應用;
③包含相互關聯的多個資源。
如果企業的系統有以上特徵,那麼就算系統再小,也需要進行定級備案。簡而言之,互聯網上的系統差不多都要進行定級備案。
那麼,等保定級究竟怎麼定呢?根據等級保護相關管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對於關鍵信息基礎設施,「定級原則上不低於三級」,且第三級及以上信息系統每年或每半年就要進行一次測評。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
2、系統備案
根據《網路安全法》規定:
①已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內(等保2.0相關標准已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
②新建第二級以上信息系統,應當在投入運行後30日內(等保2.0相關標准已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
③隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。
④跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
企業最終確定保護對象的級別以後,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料:(一)系統拓撲結構及說明;(二)系統安全組織機構和管理制度;(三)系統安全保護設施設計實施方案或者改建實施方案;(四)系統使用的信息安全產品清單及其認證、銷售許可證明;(五)測評後符合系統安全保護等級的技術檢測評估報告;(六)信息系統安全保護等級專家評審意見;(七)主管部門審核批准信息系統安全保護等級的意見。
3、安全建設(整改)
等級保護整改是等保建設的其中一個環節,指按照等級保護建設要求,對信息和信息系統進行的網路安全升級,包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力,讓企業可以成功通過等級測評。
等級保護整改沒有什麼資質要求,只要公司可以按照等級保護要求來進行相關網路安全建設,由誰來實施,是沒有要求的。但由於目前企業網路安全人才緊缺,企業很多時候都需要尋找專業的網路安全服務公司來進行整改。
整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,對安全管理現狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要是指企業部署和購買能夠滿足等保要求的產品,比如網頁防篡改、流量監測、網路入侵監測產品等。
4、等級測評
等級測評指經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委託,按照有關管理規范和技術標准,對信息系統安全等級保護狀況進行檢測評估的活動。
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
二級及以上的信息系統都要做等級測評,且等級測評得分要在70分以上,並且沒有高風險項才算通過。等級測評結束後,測評機構會出具測評報告。企業需要把測評報告提交給公安機關,才算真正落實了等級保護工作。
5、監督檢查
企業要接受公安機關不定期的監督和檢查,對公安機關提出的問題予以改進。
Ⅱ 在三級系統中,以哪些檢查項屬於主機測評
網路安全防護是一種網路安全技術,指致力於解決諸如如何有效進行介入控制,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略 。 處理好安全防護技術 物理措施防護:例如,保護網路關鍵設備,制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。數據加密防護:加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。網路隔離防護:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網扎實現的。其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。提高安全防範意識 擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。定期主機安全檢查 要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。 基本安全方案編輯本段人們有時候會忘記安全的根本,只是去追求某些耀人眼目的新技術,結果卻發現最終一無所得。而在目前的經濟環境下,有限的安全預算也容不得你置企業風險最高的區域於不顧而去追求什麼新技術。當然,這些高風險區域並非對所有人都相同,而且會時常發生變化。不良分子總是會充分利用這些高風險區域實施攻擊,而我們今天所看到的一些很流行的攻擊也早已不是我們幾年前所看到的攻擊類型了。寫作本文的目的,就是要看一看有哪些安全解決方案可以覆蓋到目前最廣的區域,可以防禦各種新型威脅的。從很多方面來看,這些解決方案都是些不假思索就能想到的辦法,但是你卻會驚訝地發現,有如此多的企業(無論是大企業還是小企業)卻並沒有將它們安放在應該放置的地方。很多時候它們只是一種擺設而已。下面給出的5大基本安全方案,如果結合得當,將能夠有效地制止針對企業的數據、網路和用戶的攻擊,會比當今市場上任何5種安全技術的結合都要好。盡管市場上還有其他很多非常有用的安全解決方案,但如果要選出5個最有效和現成可用的方案,那麼我的選擇還是這5項:防火牆 ――這塊十多年來網路防禦的基石,如今對於穩固的基礎安全來說,仍然十分需要。如果沒有防火牆屏蔽有害的流量,那麼企業保護自己網路資產的工作就會成倍增加。防火牆必須部署在企業的外部邊界上,但是它也可以安置在企業網路的內部,保護各網路段的數據安全。在企業內部部署防火牆還是一種相對新鮮但卻很好的實踐。之所以會出現這種實踐,主要是因為可以區分可信任流量和有害流量的任何有形的、可靠的網路邊界正在消失的緣故。舊有的所謂清晰的互聯網邊界的概念在現代網路中已不復存在。最新的變化是,防火牆正變得越來越智能,顆粒度也更細,能夠在數據流中進行定義。如今,防火牆基於應用類型甚至應用的某個功能來控制數據流已很平常。舉例來說,防火牆可以根據來電號碼屏蔽一個SIP語音呼叫。安全路由器 (FW、IPS、QoS、VPN)――路由器在大多數網路中幾乎到處都有。按照慣例,它們只是被用來作為監控流量的交通警察而已。但是現代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能,有時候甚至要比防火牆的功能還全。今天的大多數路由器都具備了健壯的防火牆功能,還有一些有用的IDS/IPS功能,健壯的QoS和流量管理工具,當然還有很強大的VPN數據加密功能。這樣的功能列表還可以列出很多。現代的路由器完全有能力為你的網路增加安全性。而利用現代的VPN技術,它可以相當簡單地為企業WAN上的所有數據流進行加密,卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途,比如防火牆功能和IPS功能。打開路由器,你就能看到安全狀況改善了很多。無線WPA2 ――是這5大方案中最省事的一種。如果你還沒有採用WPA2無線安全,那就請把你現在的安全方案停掉,做個計劃准備上WPA2吧。其他眾多的無線安全方法都不夠安全,數分鍾之內就能被破解。所以請從今天開始就改用帶AES加密的WPA2吧。郵件安全 ――我們都知道郵件是最易受攻擊的對象。病毒、惡意軟體和蠕蟲都喜歡利用郵件作為其傳播渠道。郵件還是我們最容易泄露敏感數據的渠道。除了安全威脅和數據丟失之外,我們在郵件中還會遭遇到沒完沒了的垃圾郵件!今天,大約90%的郵件都是垃圾郵件。而好的郵件安全解決方案就能夠擋住垃圾郵件,過濾惡意軟體。假如你的現有郵件系統接收了大量的垃圾郵件,那麼通過這些郵件你可能被惡意軟體感染的機會就越大。所以,郵件安全解決方案的思路就是,郵件安全網關中的反垃圾郵件功能應該是一個重點,也是一個郵件系統產品的核心競爭力。如果它不能有效地屏蔽掉垃圾郵件,那麼它也肯定不能捕捉到惡意軟體和數據泄密事件。Web安全 ――今天,來自80埠和443埠的威脅比任何其他威脅都要迅猛。有鑒於基於Web的攻擊越來越復雜化,所以企業就必須部署一個健壯的Web安全解決方案。多年來,我們一直在使用簡單的URL過濾,這種辦法的確是Web安全的一項核心內容。但是Web安全還遠不止URL過濾這么簡單,它還需要有注入AV掃描、惡意軟體掃描、IP信譽識別、動態URL分類技巧和數據泄密防範等功能。攻擊者們正在以驚人的速度侵襲著很多高知名度的網站,假如我們只依靠URL黑白名單來過濾的話,那我們可能就只剩下白名單的URL可供訪問了。任何Web安全解決方案都必須能夠動態地掃描Web流量,以便決定該流量是否合法。在此處所列舉的5大安全解決方案中,Web安全是處在安全技術發展最前沿的,也是需要花錢最多的。而其他解決方案則大多數已經相當成熟。Web安全應盡快去掉虛飾,回歸真實,方能抵擋住黑客們發起的攻擊。 安全防禦體系編輯本段根據目前的網路安全現狀,以及各領域企業的網路安全需求,能夠簡單、快捷地實現整個網路的安全防禦架構。企業信息系統的安全防禦體系可以分為三個層次:安全評估,安全加固,網路安全部署。安全評估 通過對企業網路的系統安全檢測,web腳本安全檢測,以檢測報告的形式,及時地告知用戶網站存在的安全問題。並針對具體項目,組建臨時項目腳本代碼安全審計小組,由資深網站程序員及網路安全工程師共通審核網站程序的安全性。找出存在安全隱患程序並准備相關補救程序。安全加固 以網路安全評估的檢測結果為依據,對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時通過對網站相關的安全源代碼審計,找出源代碼問題所在,進行安全修復。安全加固作為一種積極主動地安全防護手段,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵,加強系統自身的安全性。網路安全部署 在企業信息系統中進行安全產品的部署,可以對網路系統起到更可靠的保護作用,提供更強的安全監測和防禦能力。 相關法規編輯本段通信網路安全防護管理辦法 (中華人民共和國工業和信息化部令第11號)《通信網路安全防護管理辦法》已經2009年12月29日中華人民共和國工業和信息化部第8次部務會議審議通過,現予公布,自2010年3月1日起施行。部長 李毅中二�一�年一月二十一日通信網路安全防護管理辦法第一條為了加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通,根據《中華人民共和國電信條例》,制定本辦法。第二條中華人民共和國境內的電信業務經營者和互聯網域名服務提供者(以下統稱「通信網路運行單位」)管理和運行的公用通信網和互聯網(以下統稱「通信網路」)的網路安全防護工作,適用本辦法。本辦法所稱互聯網域名服務,是指設置域名資料庫或者域名解析伺服器,為域名持有者提供域名注冊或者權威解析服務的行為。本辦法所稱網路安全防護工作,是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制,以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。第四條中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網路安全防護工作的統一指導、協調和檢查,組織建立健全通信網路安全防護體系,制定通信行業相關標准。各省、自治區、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。工業和信息化部與通信管理局統稱「電信管理機構」。第五條通信網路運行單位應當按照電信管理機構的規定和通信行業標准開展通信網路安全防護工作,對本單位通信網路安全負責。第六條通信網路運行單位新建、改建、擴建通信網路工程項目,應當同步建設通信網路安全保障設施,並與主體工程同時進行驗收和投入運行。通信網路安全保障設施的新建、改建、擴建費用,應當納入本單位建設項目概算。第七條通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。電信管理機構應當組織專家對通信網路單元的分級情況進行評審。通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別,並按照前款規定進行評審。第八條通信網路運行單位應當在通信網路定級評審通過後三十日內,將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案:(一)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案;(二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案;(三)互聯網域名服務提供者向工業和信息化部備案。第九條通信網路運行單位辦理通信網路單元備案,應當提交以下信息:(一)通信網路單元的名稱、級別和主要功能;(二)通信網路單元責任單位的名稱和聯系方式;(三)通信網路單元主要負責人的姓名和聯系方式;(四)通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置;(五)電信管理機構要求提交的涉及通信網路安全的其他信息。前款規定的備案信息發生變化的,通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。通信網路運行單位報備的信息應當真實、完整。第十條電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。第十一條通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並按照以下規定進行符合性評測:(一)三級及三級以上通信網路單元應當每年進行一次符合性評測;(二)二級通信網路單元應當每兩年進行一次符合性評測。通信網路單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。通信網路運行單位應當在評測結束後三十日內,將通信網路單元的符合性評測結果、整改情況或者整改計劃報送通信網路單元的備案機構。第十二條通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患:(一)三級及三級以上通信網路單元應當每年進行一次安全風險評估;(二)二級通信網路單元應當每兩年進行一次安全風險評估。國家重大活動舉辦前,通信網路單元應當按照電信管理機構的要求進行安全風險評估。通信網路運行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計劃報送通信網路單元的備案機構。第十三條通信網路運行單位應當對通信網路單元的重要線路、設備、系統和數據等進行備份。第十四條通信網路運行單位應當組織演練,檢驗通信網路安全防護措施的有效性。通信網路運行單位應當參加電信管理機構組織開展的演練。第十五條通信網路運行單位應當建設和運行通信網路安全監測系統,對本單位通信網路的安全狀況進行監測。第十六條通信網路運行單位可以委託專業機構開展通信網路安全評測、評估、監測等工作。工業和信息化部應當根據通信網路安全防護工作的需要,加強對前款規定的受託機構的安全評測、評估、監測能力指導。第十七條電信管理機構應當對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。電信管理機構可以採取以下檢查措施:(一)查閱通信網路運行單位的符合性評測報告和風險評估報告;(二)查閱通信網路運行單位有關網路安全防護的文檔和工作記錄;(三)向通信網路運行單位工作人員詢問了解有關情況;(四)查驗通信網路運行單位的有關設施;(五)對通信網路進行技術性分析和測試;(六)法律、行政法規規定的其他檢查措施。第十八條電信管理機構可以委託專業機構開展通信網路安全檢查活動。第十九條通信網路運行單位應當配合電信管理機構及其委託的專業機構開展檢查活動,對於檢查中發現的重大網路安全隱患,應當及時整改。第二十條電信管理機構對通信網路安全防護工作進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品。第二十一條電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密和個人隱私,有保密的義務。第二十二條違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規定的,由電信管理機構依據職權責令改正;拒不改正的,給予警告,並處五千元以上三萬元以下的罰款。第二十三條電信管理機構的工作人員違反本辦法第二十條、第二十一條規定的,依法給予行政處分;構成犯罪的,依法追究刑事責任。第二十四條本辦法自2010年3月1日起施行。 相關新聞編輯本段網路安全防護形勢嚴峻木馬問題引發社會關注 隨著我國互聯網行業的飛速發展,木馬等計算機惡意程序也越來越成為廣大計算機用戶面臨的最大的網路危害之一。新華社記者28日獲悉,國內相關部門正在就治理木馬等計算機惡意程序進行研討,並呼籲針對計算機惡意程序盡快立法。木馬等計算機惡意程序是不法分子在用戶計算機系統中植入的監視工具,伺機竊取用戶資料,並控制用戶計算機來從事非法活動。近年來,木馬等計算機惡意程序和病毒的趨利性在不斷增強,利益的驅動促使盜號產業鏈的形成,這個巨大的灰色產業鏈已經給整個互聯網的安全帶來嚴峻考驗。據艾瑞咨詢最新發布的《2007中國個人網路安全研究報告》顯示,目前通過木馬病毒盜竊互聯網交易平台上的賬號、密碼,已成為網路安全的主要隱患。 28日,在包括國務院信息化辦公室、信息產業部、公安部、國家反病毒中心、中國互聯網協會等多個部門參與的計算機惡意程序治理法律環境高層研討會上,與會人員就中國目前的網路安全形勢以及法律環境問題進行了深入剖析,同時對違法後果的評估和量刑進行了探討,並呼籲對木馬等計算機惡意程序的立法盡快提上議程。 「惡意盜竊互聯網交易平台上的賬號、密碼的行為,不僅嚴重侵害了用戶權益,也極大損害了企業權益。國家盡快出台相關法律法規,切實治理木馬等計算機惡意程序問題。」騰訊公司首席行政官陳一丹說。騰訊公司安全中心負責人盧山認為當前國內網路安全防護面臨嚴峻形勢,他說,在經濟利益的驅使下,新的木馬不斷出現,同時不斷出現新的變種。 奇虎董事長周鴻�認為,以前互聯網最突出的問題是病毒威脅,而現在隨著互聯網越來越生活化,安全已威脅到每一個人。例如,過去不少常公開露面的惡意軟體如今已轉入地下,甚至和病毒結合起來。當前中國互聯網正在進入一個新的應用高峰,如網上炒股,網上購物等,從而使安全形勢更加嚴峻,這些問題單純依靠殺毒軟體是無法解決的。而網路安全對網民來說是起碼的保障,是互聯網的基礎服務,因此他主張安全軟體應對老百姓完全免費。「連搜索、郵箱、IM都免費,更何況最基本的安全問題。」 陳一丹認為,一個企業的力量畢竟有限,要從各個環節入手給予不法分子以嚴厲打擊,這需要各相關企業、用戶、司法機關等社會各界的共同努力,使查殺惡意程序、打擊黑色產業鏈有法可依,有效震懾不法分子。
Ⅲ 等保二級和三級的區別
等級保護一共分為五個等級,但是實際上我們最經常接觸的信息系統等級莫過於第二級和第三級了。既然做出了等級劃分,兩者自然也就存在著不同的地方,下面小編就從幾個方面給大家介紹一下兩者之間的區別:一、應用場景區別
四、測評周期區別
根據《信息安全等級保護管理辦法》中的第十四規定,第三級信息系統應當每年至少進行一次等級測評;第二級不強制要求測評,但是要求定期找測評機構測評或進行系統自測。
Ⅳ 什麼是信息安全等級保護,評測標准
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
等級保護測評流程是:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
Ⅳ 信息系統安全等級保護測評流程是什麼
信息系統安全等級保護測評准備活動的工作流程:
信息系統安全等級保護測評准備活動的目標是順利啟動測評項目,准備測評所需的相關資料,為順利編制測評方案打下良好的基礎。
信息系統安全等級保護測評准備活動包括項目啟動、信息收集和分析、工具和表單准備三項主要任務。這三項任務的基本工作流程見下圖:
一、項目啟動
在項目啟動任務中,測評機構組建等級測評項目組,獲取測評委託單位及被測系統的基本情況,從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本准備。
輸入:委託測評協議書。
任務描述:
a) 根據測評雙方簽訂的委託測評協議書和系統規模,測評機構組建測評項目組,從人員方面做好准備,並編制項目計劃書。項目計劃書應包含項目概述、工作依據、技術思路、工作內容和項目組織等。
b) 測評機構要求測評委託單位提供基本資料,包括:被測系統總體描述文件,詳細描述文件,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有),測評委託單位的信息化建設狀況與發展以及聯絡方式等。
輸出/產品:項目計劃書。
二、 信息收集和分析
測評機構通過查閱被測系統已有資料或使用調查表格的方式,了解整個系統的構成和保護情況,為編寫測評方案和開展現場測評工作奠定基礎。
輸入:調查表格,被測系統總體描述文件,詳細描述文件,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有)。
任務描述:
a) 測評機構收集等級測評需要的各種資料,包括測評委託單位的各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網路圖表、配置管理文檔等。
b) 測評機構將調查表格提交給測評委託單位,督促被測系統相關人員准確填寫調查表格。
c) 測評機構收回填寫完成的調查表格,並分析調查結果,了解和熟悉被測系統的實際情況。分析的內容包括被測系統的基本信息、物理位置、行業特徵、管理框架、管理策略、網路及設備部署、軟硬體重要性及部署情況、范圍及邊界、業務種類及重要性、業務流程、業務數據及重要性、業務安全保護等級、用戶范圍、用戶類型、被測系統所處的運行環境及面臨的威脅等。這些信息可以重用自查或上次等級測評報告中的可信結果。
d) 如果調查表格填寫不準確或不完善或存在相互矛盾的地方較多,測評機構應安排現場調查,與被測系統相關人員進行面對面的溝通和了解。
輸出/產品:填好的調查表格。
三、工具和表單准備
測評項目組成員在進行現場測評之前,應熟悉與被測系統相關的各種組件、調試測評工具、准備各種表單等。
輸入:各種與被測系統相關的技術資料。
任務描述:
a) 測評人員調試本次測評過程中將用到的測評工具,包括漏洞掃描工具、滲透性測試工具、性能測試工具和協議分析工具等。
b) 測評人員模擬被測系統搭建測評環境。
c) 准備和列印表單,主要包括:現場測評授權書、文檔交接單、會議記錄表單、會議簽到表單等。
輸出/產品:選用的測評工具清單,列印的各類表單。
Ⅵ 詳細信息安全等級保護測評流程
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
網路安全等級保護備案共分為五級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例
Ⅶ 等級保護三級高,還是二級高
三級比二級高。
《信息安全等級保護管理辦法》:信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度,分為五級。其中第三級屬於「監管級別」,由國家信息安全監管部門進行監督、檢查。
三級是國家對非銀行機構的最高級認證,屬於「監管級別」,由國家信息安全監管部門進行監督、檢查,認證需要測評內容涵蓋等級保護安全技術要求5個層面和安全管理要求的5個層面,主要包含信息保護、安全審計、通信保密等在內的近300項要求,共涉及測評分類73類,要求十分嚴格。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
以上內容參考:網路-信息安全等級保護管理辦法
Ⅷ 等級保護測評流程
等級保護測評流程是:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
Ⅸ 等級保護測評到底是做什麼的
等級保護測評一般是指信息安全等級保護測評工作,即對信息和信息載體按照重要性等級分級別進行保護的一種測評工作。
《信息安全等級保護管理辦法》第七條規定:
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
(9)通信網路安全定級評測擴展閱讀:
信息安全基本原則:
自主保護原則:信息系統運營、使用單位及其主管部門按照國家相關法規和標准,自主確定信息系統的安全保護等級,自行組織實施安全保護。
重點保護原則:根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
同步建設原則:信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。
動態調整原則:要跟蹤信息系統的變化情況,調整安全保護措施。由於信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。
參考資料來源:
網路——信息安全等級保護
中國網——信息安全等級保護管理辦法