• 等級保護咨詢及評估
    等級保護咨詢及評估
    安全服務
    等級保護咨詢及評估
首頁 > 安全服務 > 等級保護咨詢及評估...
服務概述

信息系統安全等級保護測評是指測評機構依據國紅舞(guó)家信息安全等級保護制度規定,按照有關管理規範和技術标準在舞,對(duì)未涉及國(guó)家秘密的信息系統安全等級有吧保護狀況進(jìn)行檢測評估的活動。等級保護測評是标準符合性評判活動,即依就上據信息安全等級保護的國(guó)家标準或行業标準,按特定方法對北多(duì)信息系統安全防護能(néng)力進銀照(jìn)行科學(xué)公正的綜合評判過(guò)程。

政策依據

《中華人民共和國(guó)計算機信息系統安全保護條例》([1994有醫]國(guó)務院令第147号)

《關于信息安全等級保護工作的實施意見》(公通字[2004]66号)很笑

《信息安全等級保護備案實施細則》(公信安[2007]1360号)

《關于開(kāi)展全國(guó)重要信息系統安全等級保護定級工作的通知兵家》(公通字[2007]861号)

《信息安全等級保護管理辦法》(公通字[2007]43号)

《關于開(kāi)展信息系統等級保護安全建設可光整改工作的指導意見》(公信安[2009]1429号)

《關于推動信息安全等級保護測評體系建設木相和開(kāi)展等級測評工作的通知》(公信安[2010]303号

技術标準

GB/T 22239-2019《信息安照錯全技術 網絡安全等級保護基本要求》

GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》

GB/T 20984-2007《火歌信息安全技術 信息安全風險評估規範》

GB 17859-1999《計算機信息系車哥統安全保護等級劃分标準》

GB/T 28449-2018《信息安老理全技術 網絡安全等級保護測評過(guò)程指南》

GB/T 36627-2018《信息安全技術 紙理網絡安全等級保護測評評估技術指南》

測評過(guò)程

等級測評過(guò)程分爲四個測評階段:

測評準備、方案編制、現場測評及分析和報告編制測評雙方之間的溝通與洽談貫穿整個等亮少級測評過(guò)程


  • 測評準備
    本階段是開(kāi)展等級測評工作的前提和基場亮礎,是整個等級測評過(guò)程有效性的保證。測白老評準備工作是否充分直接關系到後(hòu)續工作能(néng)否順利開(kāi章還)展。本階段的主要任務是掌握被(bèi)測系統的海影詳細情況,爲實施測評做好(hǎo)文檔及測雜行試工具等方面(miàn)的準備。
  • 方案編制
    本階段是開(kāi)展等級測評自朋工作的關鍵,爲現場測評提供最基本的文檔請校和指導方案。本階段的主要任務是開(k煙睡āi)發(fā)與被(bèi)測信息系統相适應的測評内容、測評實施手冊等,煙工形成(chéng)測評方案。
  • 現場測評
    本階段是開(kāi)展等級測評工作的核心活動。主要任務是依化看據測評方案的總體要求,嚴格執行測評實施手冊,分步實施讀匠所有測評項目,包括單項測評和系統整體測評兩(liǎng)分機個方面(miàn),以了解系統的真實保護妹飛情況,獲取足夠證據,發(fā)現系統存在的安全問題。
  • 分析與報告編制
    本階段是給出等級測評工作結果的活動,是總結被(bèi)測系統整體安全保護能(算煙néng)力的綜合評價活動。本階段的主要任務是根據現場測評結果和GB/T兒微 22239-2019的有關要求,通過(guò)單項測評師錯結果判定和系統整體測評分析等方法,分析整個系統的安全保護現狀與相應等級的保得海護要求之間的差距,綜合評價被(bèi)測信息系統保西街護狀況,并形成(chéng)測評報告文本。

測評方法

測評方法一般包括訪談、文檔審查、配置檢查、工放冷具測試和實地察看五個方面(miàn)日舊


  • 訪談
    測評人員與被(bèi)測系統有關人員(個人/群哥煙體)進(jìn)行交流、讨論等活動,獲取水線相關證據,了解有關信息。在訪談範圍上,不同等級信息系統在測評時可樂(shí)有不同的要求,一般應基本覆蓋所有的安全相關人員物自類型,在數量上可以抽樣(yàng)。
  • 文檔審查
    1)檢查GB/T 22239-2019中規定的必須具有的制度、策略、操作規程間為等文檔是否齊備。
    2)檢查是否有完整的制度執行情況記錄,如機房出入登記記錄、電子記錄、紅樂高等級系統的關鍵設備的使用登記記錄問水等。
    3)對(duì)上述文檔進(j農務ìn)行審核與分析,檢查他們的完整性和這(zhè)些文件之間的内部一緻性。
  • 配置檢查
    1)根據測評結果記錄表格内容,利用上機驗證的方式檢查門間應用系統、主機系統、數據庫系統以及網絡設備的配置是否正确們中,是否與文檔、相關設備和部件保持一她志緻,對(duì)文檔審核的内容進(jìn)行核實(包括日志審計等問外)。
    2)如果系統在輸入無效命令時(shí)不能(néng)完成(chéng)愛靜其功能(néng),將(jiāng)要對(duì)其進(jìn)行錯誤測試。你樹
    3)針對(duì)網絡連接,應對(d睡窗uì)連接規則進(jìn)行驗證。
  • 工具測試
    1)根據測評方案,利用技術工具務嗎對(duì)系統進(jìn)行測試,包括基于網絡探測和基于主機審計的漏站睡洞掃描、滲透性測試、性能(néng)測試、入侵檢測和協議分析等。
    2)備份測試結果。
  • 實地察看
    1)根據被(bèi)測系統的實際情況,測評人員到系統運行現友畫場通過(guò)實地的觀察人員行爲、技術設施和小高物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面(m亮廠iàn)的安全情況,測評其是否達到了相雨能應等級的安全要求。

×
隐私條款
×

此處放标題

内容暫無















免費咨詢熱線:400-880-50河近62
電話:86-21-51905999
傳真:86-21-51905959
郵編:201203
地址:上海市浦東新區張江高科技園區郭守敬路498号20号樓
我同意