等保测评内容和体系

来源:本站 作者:中联信科 日期:2022-07-13 17:02:55 浏览: 650

依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。


等保测评的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

等保2.0相关标准已经发布有一段时间,离标准正式实施还有几个月的时间,之前关于等保2.0中测评结论的判定目前也已经尘埃落定。

等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。

简单点说“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是我们此次可以看出来等保的及格线已经由原先的60分提高到了70分,可以看到等保对安全的最低要求已经在显然提高了。大家未来想通过等保测评需要扎扎实实地把安全工作做好才行。等保是一项合规合法工作,但不仅是合规合法,更是一项基本的安全工作,通过等保工作我们可以把安全工作做得更好更成体系。

 等级测评标准体系

等保标准:

GB 17859-1999《计算机信息系统安全保护等级划分准则》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB∕T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

GB∕T 25058-2019《 信息安全技术 网络安全等级保护实施指南 》

GB∕T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

其它产品类标准(略)

等级保护对象定级与备案

涉及到运营、使用单位、主管部门、公安机关。

主管部门从行业特征、业务覆盖范围、主要承担的社会功能/职能和生产产值等方面梳理所有业务情况。

运营、使用单位针对每个业务,依据《网络安全等级保护定级指南》标准,根据业务信息重要性和系统服务重要性分析其安全保护要求,形成针对主要业务的行业/领域定级指导意见。

运营、使用单位到主管部门审核、批准,报公安机关备案审查。

总体安全规划

涉及到的角色主要是运营、使用单位和网络安全服务机构。该项工作可以由运营、使用单位独立完成。也可以由网络安全服务机构协助运营、使用单位完成。

1.定需求。由于等级已确定,因此应按《网络安全等级保护基本要求》对照相应等级选择相应的要求项作为安全保护需求。

还要注意系统的特殊安全需求。就是针对等保对象中的重要部件,分析其面临的威胁,确定需要优先实现的除基本安全保护需求之外的特殊安全保护要求。

2.定安全保障战略及方针

3.定安全目标,制定安全策略

4.规划技术体系架构和安全管理体系架构,技术体系架构设计时应重点关注不同等级定级对象之间互联时的安全防护策略

安全设计与实施

根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档,使得在网络安全产品采购和安全控制开发阶段具有依据。

安全技术体系设计与实施:

1.依据安全需求进行总体网络结构框架的设计

2.进行安全功能要求和性能要求的设计

3.结合当前等级保护对象网络拓扑构、设计最新的部署方案

4.选购设备组件,并对相关组件实施安全配置

注意:没有产品能够实现安全措施或需求的时候,需要专门设计、开发。

5.将不同的软硬件产品进行集成,综合、整合成为一个系统。

安全管理体系设计与实施:从组织机构、人员、文档及建设过程管理等方面来考虑。

1.组织机构与人员方面:网络安全管理机构和人员、网络安全维护队伍、网络安全专家队伍、网络安全检查评估审计队伍

2.文档方面:高层策略文件、各类管理制度、具体操作规程和各类操作记录称为四层塔式管理文件体系。

3.安全建设过程管理:项目实施过程中的一些管理控制要求的实施。

安全运行与维护

包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。

运营、使用单位还应该做好在异常状态下的应急和保障工作。

应针对不同等级不同类别的安全事件制定相应的应急预案,应急预案应尽量覆盖不同的安全事件,流程详细可操作。

等级保护对象

等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。

通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;

信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;

而数据资源的典型例子是大数据。

安全保护等级

五级,根据等保对象(就是3.2.1中的三个东西)在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素来确定等级。

定级要素

定级要素有两个:“受侵害的客体”和“对客体的侵害程度”。

其中,受侵害的客体可能是以下三者之一或者组合:

a)公民、法人和其他组织的合法权益;

b)社会秩序、公共利益;

c)国家安全。

对客体的侵害程度归结为以下三种:

a)造成一般损害;

b)造成严重损害;

c)造成特别严重损害。

受侵害的客体

根据《中华人和国国家安全法》侵害国家安全的事项主要包括以下方面:

——影响国家政权稳固同和领土主权,海洋权益完整

——影响国家统统一、民族团结和社会稳定;

——影响国家社会主义市场经济秩序和文化实力;

——其他影响国家安全的事项。

根据《中华人民共和国治安管理处罚法》,侵害社会秩序的事项主要包括以下方面:

——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;

——影响公共场所的活动秩序、公共交通秩序;

——影响人民群众的生活秩序;

——其他影响社会秩序的事项。

公共利益通常是指不特定的社会成员所享有的,受法律法规保护的长远利益,侵害公共利益的事项主要包括以下方面:

——影响社会成员使用公共设施;

——影响社会成员获取公开信息资源;

——影响社会成员接受公共服务等方面;

——其他影响公共利益的事项。

公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等,如财产、企业信誉和个人名誉等。

以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。

上一篇:网站等保三级测评内容和收费 ← 下一篇:等保测评2.0二级等保测价格 →