1樓:青蓮網路雲服務
等級測評的流程:
差距測評階段又分為以下內容:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動,整改階段、驗收測評階段。
1、測評準備活動階段
簽訂《合作合同》與《保密協議》
首先,被測評單位在選定測評機構後,雙方需要先簽訂《測評服務合同》,合同中對專案範圍(系統數量)、專案內容(差距測評?驗收測評?協助整改?
)、專案週期(什麼時間進場?專案計劃做多長時間?)、專案實施方案(測評工作的步驟)、專案人員(專案實施團隊人員)、專案驗收標準、付款方式、違約條款等等內容逐一進行約定。
簽訂《測評服務合同》同時,測評機構應簽署《保密協議》。《保密協議》一般分兩種,一種是測評機構與被測單位(公對公)簽署,約定測評機構在測評過程中的保密責任;一種是測評機構專案組成員與被測單位之間簽署。
專案啟動會
在雙方簽完委託測評合同之後,雙方即可約定召開專案啟動會時間。專案啟動會的目的,主要是由甲方領導對公司內部涉及的部門進行動員、提請各相關部門重視、協調內部資源、介紹測評方專案實施人員、計劃安排等內容,為整個等級測評專案的實施做基本準備。
系統情況調研
啟動會後,測評方開展調研,通過填寫《資訊系統基本情況調查表》,掌握被測系統的詳細情況,為編制測評方案做好準備。測評準備活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分,直接關係到後續工作能否順利開展。
一個二級系統的測評準備工作一般需要1天半,**系統的準備工作一般需要2天左右完成。
2、測評方案編制階段
該階段的主要任務是確定與被測資訊系統相適應的測評物件、測評指標及測評內容等,並根據需要重用或開發測評實施手冊,形成測評方案。方案編制活動為現場測評提供最基本的文件依據和指導方案。一個二級系統的方案編制工作一般需要2天左右完成。
3、現場測評階段
現場測評活動是開展等級測評工作的核心活動,包括技術測評和管理測評。其中技術測評包括: 物理安全、網路安全、主機安全、應用安全、資料安全和備份恢復。
管理測評包括:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。現場差距測評一般包括訪談、文件審查、配置檢查、工具測試和實地察看五個方面。
一個二級系統的現場測評工作一般需要5天左右完成。
此階段的輸出物為物理安全現場測評記錄、網路安全現場測評記錄、主機安全現場測評記錄、應用安全現場測評記錄、資料安全和備份恢復現場測評記錄、安全管理制度現場測評記錄、安全管理機構現場測評記錄、人員安全管理現場測評記錄、系統建設管理現場測評記錄和系統運維管理現場測評記錄等。
4、分析與報告編制階段
此階段主要任務是根據現場測評結果,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,並分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文字。一個二級系統的分析和報告編制工作一般需要3-4天左右完成。
此階段工作不一定需要在客戶現場完成。《測評報告》的模板是由公安機關統一制定的。
此階段的輸出物為《某系統等級測評報告》、《某系統整改建議》。
5、整改階段
主要根據測評機構出具的差距測評報告和整改建議進行整改,此階段主要由備案單位實施,測評機構協助,客戶可以根據自身的實際情況,把整改分為短期、中期、長期。
6、驗收測評階段
測評流程與之前的流程相同,主要是檢查整改的效果。
綜上,一個二級系統完整的測評一次,在客戶方充分配合、測評方派3名測評師的情況下,大致需要四周左右。如果有多個系統同時測評,會存在部分重複工作,具體情況需要具體分析。
2樓:匿名使用者
資訊系統安全等級保護測評準備活動的工作流程:
資訊系統安全等級保護測評準備活動的目標是順利啟動測評專案,準備測評所需的相關資料,為順利編制測評方案打下良好的基礎。
資訊系統安全等級保護測評準備活動包括專案啟動、資訊收集和分析、工具和表單準備三項主要任務。這三項任務的基本工作流程見下圖:
一、專案啟動
在專案啟動任務中,測評機構組建等級測評專案組,獲取測評委託單位及被測系統的基本情況,從基本資料、人員、計劃安排等方面為整個等級測評專案的實施做基本準備。
輸入:委託測評協議書。
任務描述:
a) 根據測評雙方簽訂的委託測評協議書和系統規模,測評機構組建測評專案組,從人員方面做好準備,並編制專案計劃書。專案計劃書應包含專案概述、工作依據、技術思路、工作內容和專案組織等。
b) 測評機構要求測評委託單位提供基本資料,包括:被測系統總體描述檔案,詳細描述檔案,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有),測評委託單位的資訊化建設狀況與發展以及聯絡方式等。
輸出/產品:專案計劃書。
二、 資訊收集和分析
測評機構通過查閱被測系統已有資料或使用調查**的方式,瞭解整個系統的構成和保護情況,為編寫測評方案和開展現場測評工作奠定基礎。
輸入:調查**,被測系統總體描述檔案,詳細描述檔案,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有)。
任務描述:
a) 測評機構收集等級測評需要的各種資料,包括測評委託單位的各種方針檔案、規章制度及相關過程管理記錄、被測系統總體描述檔案、詳細描述檔案、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、使用者指南、執行步驟、網路圖表、配置管理文件等。
b) 測評機構將調查**提交給測評委託單位,督促被測系統相關人員準確填寫調查**。
c) 測評機構收回填寫完成的調查**,並分析調查結果,瞭解和熟悉被測系統的實際情況。分析的內容包括被測系統的基本資訊、物理位置、行業特徵、管理框架、管理策略、網路及裝置部署、軟硬體重要性及部署情況、範圍及邊界、業務種類及重要性、業務流程、業務資料及重要性、業務安全保護等級、使用者範圍、使用者型別、被測系統所處的執行環境及面臨的威脅等。這些資訊可以重用自查或上次等級測評報告中的可信結果。
d) 如果調查**填寫不準確或不完善或存在相互矛盾的地方較多,測評機構應安排現場調查,與被測系統相關人員進行面對面的溝通和了解。
輸出/產品:填好的調查**。
三、工具和表單準備
測評專案組成員在進行現場測評之前,應熟悉與被測系統相關的各種元件、除錯測評工具、準備各種表單等。
任務描述:
a) 測評人員除錯本次測評過程中將用到的測評工具,包括漏洞掃描工具、滲透性測試工具、效能測試工具和協議分析工具等。
b) 測評人員模擬被測系統搭建測評環境。
c) 準備和列印表單,主要包括:現場測評授權書、文件交接單、會議記錄表單、會議簽到表單等。
輸出/產品:選用的測評工具清單,列印的各類表單。
3樓:天磊諮詢
等級保護測評流程是:定級備案
準備:合格的定級備案材料
調研梳理
準備:①全套管理制度文件(包含記錄文件)②《基礎環境調研表》③《漏洞掃描報告》④《滲透測試報告》。
初步測評
準備:整改全套:包涵高、中、底危整改記錄及其他整改過程記錄。
整改建設
準備:①《差距性分析報告》②《整改意見書》(在問題彙總清單後撰寫落地解決方案)。
正式測評
準備:測評機構執行:根據整改結果複測達到目標分數。
4樓:匿名使用者
這個連結進去後,右下角有一個測評流程圖,你可以看一下。
正下方還有各地的測評機構連結,你打**過去問一下就可以了。
上海這邊的測評機構負責人,還是很好說話的,上回問他們問答,也很耐心解答。
5樓:匿名使用者
應該要評估,可以去當地質檢部門諮詢下
您可以登入 中國認證認可資訊 網 - 專家專欄 ,諮詢上面的專家,這些專家都具有各行各業的豐富經驗,可以幫助到您。
6樓:成都智安網路
根據等級保護相關管理檔案,等級保護物件的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護物件的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。
對於關鍵資訊基礎設施,「定級原則上不低於**」,且第**及以上資訊系統每年或每半年就要進行一次測評。
**資訊系統安全等級保護步驟為:
1.**系統定級
2.**系統備案
3.**系統安全建設(整改)
4.**系統等級測評
5.監督檢查
7樓:德棍呵呵
網路安全等級保護是當今發達國家保護關鍵資訊基礎設施、保障資訊保安的通行做法,也是我國多年來網路安全工作實踐和經驗的總結。開展網路安全等級保護工作的主要目的就是要保護國家關鍵資訊基礎設施安全、維護****,這是一項事關****、社會穩定、國家利益的重要決策部署。
等級保護工作在大部分人看來都是比較繁瑣的,流程多,持續時間長,企業工作人員承壓不小,但事實情況真的這樣的嗎?等級保護一般主要分哪幾個階段,主要從哪些方面進行?完成等保測評,企業將取得怎樣的收穫?
時代新威希望本文能解開你心中的疑惑。
資訊系統安全等級保護測評工作是指測評機構依據國家資訊保安等級保護制度規定,受有關單位委託,按照有關管理規範和技術標準,運用科學的手段和方法,對處理特定應用的資訊系統,採用安全技術測評和安全管理測評方式,對保護狀況進行檢測評估,判定受測系統的技術和管理級別與所定安全等級要求的符合程度,基於符合程度給出是否滿足所定安全等級的結論,針對安全不符合項提出安全整改建議。
目前資訊保安等級保護主要分為五級,五級是最高階別,目前大部分申請單位申請**比較常見。一般主要包括以下流程:
等級保護測評主要測以下十個層面:
安全技術測評:
安全技術測評包括:物理安全、網路安全、主機安全、應用安全、資料安全。
安全管理測評:
安全管理測評包括:安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
技術層面具體的物件是:
1、機房,本測評單位將對資訊系統運營使用單位重要資訊系統的機房、配電間、消防間等相關物理環境進行測評,分析其中的問題以及不符合要求的地方。
2、業務應用軟體,本測評單位將對資訊系統運營使用單位重要資訊系統進行測評,從應用軟體的安全機制方向,分析應用系統中存在的安全隱患與問題。
3、主機作業系統,本測評單位將對資訊系統運營使用單位重要資訊系統相關的伺服器的作業系統進行測評,從訪問控制、安全審計、剩餘資訊保護、入侵防範、惡意**防範、資源控制等方向分析其中的安全隱患與問題。
4、資料庫系統,本測評單位將對資訊系統運營使用單位重要資訊系統所使用的資料庫進行測評,從身份鑑別、訪問控制、安全審計、資源控制方向分析其中的安全隱患與問題。
5、網路裝置,本測評單位將對資訊系統運營使用單位重要資訊系統的網路裝置進行測評,從訪問控制、安全審計、網路裝置防護等方向分析其中的安全隱患與問題。
具體測評內容控制點及要求項比較多,統計如下:二級系統控制點66個,要求項175;**系統控制點73個,要求項290個。
最終經過等級保護測評之後,申請測評單位主要能收穫哪些呢?
1 簡述我國的資訊保安等級保護制度
合易人力資源 國家 有關部門和企業在資訊保安等級保護工作中各自的責任和義務是 答 國家通過制定統一的資訊保安等級保護管理規範和技術標準,組織公民 法人和其他組織對資訊系統分等級實行安全保護,對等級保護工作的實施進行監督 管理。資訊保安監管部門 包括公安機關 保密部門 國家密碼工作部門 組織制定等級保...
為什麼要開展資訊保安等級保護工作
隨著資訊化的普及,資訊系統的基礎性 全域性性日益突出,資訊資源已成為重要的戰略資源之一,保障資訊保安成為資訊化發展中的重要課題。存在的突出問題 資訊保安意識和安全防範能力薄弱,資訊保安滯後於資訊化發展 資訊系統安全建設和管理的目標不明確 資訊保安保障工作的重點不突出 資訊保安監督管理缺乏依據和標準 ...
什麼是資訊保安等級保護?什麼是等保
天磊諮詢 等級保護是我們國家的基本網路安全制度 基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標準開始安全建設是目前企事業單位的普遍要求,也是國家關鍵資訊基礎措施保護的基本要求。等級保護分為五個級別 網路安全等級保護備案辦理流程 一步 定級 定級是等級保護的首要環節 二步 備案 備...