• 等級保護咨詢及評估
    等級保護咨詢及評估
    安全服務
    等級保護咨詢及評估
首頁 > 安全服務 > 等級保護咨詢及評估...
服務概述

信息系統安全等級保護測評是指測評機構依據國(guó)家信息安全等級保護制度規定,按照有關管理規範和技術标準,對(duì)未涉及國(guó)家秘密的信息系統安全等級保護狀況進(jìn)行檢測評估的活動。等級保護測評是标準符合性評判活動,即依據信息安全等級保護的國(guó)家标準或行業标準,按特定方法對(duì)信息系統安全防護能(néng)力進(jìn)行科學(xué)公正的綜合評判過(guò)程。

政策依據

《中華人民共和國(guó)計算機信息系統安全保護條例》([1994]國(guó)務院令第147号)

《關于信息安全等級保護工作的實施意見》(公通字[2004]66号)

《信息安全等級保護備案實施細則》(公信安[2007]1360号)

《關于開(kāi)展全國(guó)重要信息系統安全等級保護定級工作的通知》(公通字[2007]861号)

《信息安全等級保護管理辦法》(公通字[2007]43号)

《關于開(kāi)展信息系統等級保護安全建設整改工作的指導意見》(公信安[2009]1429号)

《關于推動信息安全等級保護測評體系建設和開(kāi)展等級測評工作的通知》(公信安[2010]303号

技術标準

GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》

GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》

GB/T 20984-2007《信息安全技術 信息安全風險評估規範》

GB 17859-1999《計算機信息系統安全保護等級劃分标準》

GB/T 28449-2018《信息安全技術 網絡安全等級保護測評過(guò)程指南》

GB/T 36627-2018《信息安全技術 網絡安全等級保護測評評估技術指南》

測評過(guò)程

等級測評過(guò)程分爲四個測評階段:

測評準備、方案編制、現場測評及分析和報告編制測評雙方之間的溝通與洽談貫穿整個等級測評過(guò)程


  • 測評準備
    本階段是開(kāi)展等級測評工作的前提和基礎,是整個等級測評過(guò)程有效性的保證。測評準備工作是否充分直接關系到後(hòu)續工作能(néng)否順利開(kāi)展。本階段的主要任務是掌握被(bèi)測系統的詳細情況,爲實施測評做好(hǎo)文檔及測試工具等方面(miàn)的準備。
  • 方案編制
    本階段是開(kāi)展等級測評工作的關鍵,爲現場測評提供最基本的文檔和指導方案。本階段的主要任務是開(kāi)發(fā)與被(bèi)測信息系統相适應的測評内容、測評實施手冊等,形成(chéng)測評方案。
  • 現場測評
    本階段是開(kāi)展等級測評工作的核心活動。主要任務是依據測評方案的總體要求,嚴格執行測評實施手冊,分步實施所有測評項目,包括單項測評和系統整體測評兩(liǎng)個方面(miàn),以了解系統的真實保護情況,獲取足夠證據,發(fā)現系統存在的安全問題。
  • 分析與報告編制
    本階段是給出等級測評工作結果的活動,是總結被(bèi)測系統整體安全保護能(néng)力的綜合評價活動。本階段的主要任務是根據現場測評結果和GB/T 22239-2019的有關要求,通過(guò)單項測評結果判定和系統整體測評分析等方法,分析整個系統的安全保護現狀與相應等級的保護要求之間的差距,綜合評價被(bèi)測信息系統保護狀況,并形成(chéng)測評報告文本。

測評方法

測評方法一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面(miàn)


  • 訪談
    測評人員與被(bèi)測系統有關人員(個人/群體)進(jìn)行交流、讨論等活動,獲取相關證據,了解有關信息。在訪談範圍上,不同等級信息系統在測評時(shí)有不同的要求,一般應基本覆蓋所有的安全相關人員類型,在數量上可以抽樣。
  • 文檔審查
    1)檢查GB/T 22239-2019中規定的必須具有的制度、策略、操作規程等文檔是否齊備。
    2)檢查是否有完整的制度執行情況記錄,如機房出入登記記錄、電子記錄、高等級系統的關鍵設備的使用登記記錄等。
    3)對(duì)上述文檔進(jìn)行審核與分析,檢查他們的完整性和這(zhè)些文件之間的内部一緻性。
  • 配置檢查
    1)根據測評結果記錄表格内容,利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正确,是否與文檔、相關設備和部件保持一緻,對(duì)文檔審核的内容進(jìn)行核實(包括日志審計等)。
    2)如果系統在輸入無效命令時(shí)不能(néng)完成(chéng)其功能(néng),將(jiāng)要對(duì)其進(jìn)行錯誤測試。
    3)針對(duì)網絡連接,應對(duì)連接規則進(jìn)行驗證。
  • 工具測試
    1)根據測評方案,利用技術工具對(duì)系統進(jìn)行測試,包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能(néng)測試、入侵檢測和協議分析等。
    2)備份測試結果。
  • 實地察看
    1)根據被(bèi)測系統的實際情況,測評人員到系統運行現場通過(guò)實地的觀察人員行爲、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面(miàn)的安全情況,測評其是否達到了相應等級的安全要求。

×
隐私條款
×

此處放标題

内容暫無















免費咨詢熱線:400-880-5062
電話:86-21-51905999
傳真:86-21-51905959
郵編:201203
地址:上海市浦東新區張江高科技園區郭守敬路498号20号樓
我同意