c
    ase analysis
    案例分析
    聯系我們
    contact us
    聯系人:宋經理

    座  機:028-86677012

    郵  箱:[email protected]
    地  址:成都市武侯區長華路19號萬科匯智中心30樓
    測評
    您當前位置:首頁 > 案例分析 > 案例解讀 > 測評 >
    淺談信息安全等級保護測評
       信息安全等級保護是我國信息安全建設的一項基本制度,是保障信息化健康發展的重要手段。通過信息安全等級保護工作,實現信息安全資源的優化配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全,有效提高我國信息和信息系統安全建設的整體水平。
       信息安全等級保護工作主要包括系統定級、信息安全等級測評、系統備案、系統安全建設和整改、信息安全檢查等五個方面。
    1.1 系統定級
       信息安全等級保護對信息和信息載體按照重要性等級分級別進行保護,根據《信息安全等級保護信息安全等級保護管理辦法》規定,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級依據信息系統在國家安全、經濟建設、社會生活中的重要程度,以及信息系統遭到破壞后對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權益的危害程度等因素, 將信息系統的安全保護等級分為五級:
        ******級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
        第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
        第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
        第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
        第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
    1.2 系統測評
        在信息系統確定相應的信息安全保護等級后,測評單位將依據GB/T 22239-2008 《信息系統安全等級保護基本要求》、GB/T 28448-2012《信息系統安全等級保護測評要求》等文件法規、國家標準對信息系統進行符合性測試評估。
        等級測評范圍分為兩類:安全管理和安全技術類。
        其中安全管理測評內容包括:安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等五個方面。
        安全技術測評內容包括:物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復五個方面。
        具體測評流程如圖1所示。
                                     
                                                                             圖 1 測評流程圖
        在完成信息系統測評后,測評單位將為被測單位出具測評報告及整改意見,測評單位根據整改意見對目前信息系統存在的安全漏洞隱患進行整改。在整改完成后,測評單位將對整改后系統進行復測,保障信息系統符合規定的信息安全等級。
    1.3 系統備案
        信息系統在完成等級保護測評工作后,屬于二級以上等級保護的系統應按照《信息安全等級保護備案實施細則》進行備案。
        其中隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由公安部公共信息網絡安全監察局受理備案,其他信息系統由北京市公安局公共信息網絡安全監察部門受理備案。
        隸屬于中央的非在京單位的信息系統,由當地省級公安機關公共信息網絡安全監察部門(或其指定的地市級公安機關公共信息網絡安全監察部門)受理備案。
        跨省或者全國統一聯網運行并由主管部門統一定級的信息系統在各地運行、應用的分支系統(包括由上級主管部門定級,在當地有應用的信息系統),由所在地地市級以上公安機關公共信息網絡安全監察部門受理備案。
        在備案過程中,被測信息系統單位應按照公安廳要求準備相應的備案材料,其中包括:公司稅務登記證、營業執照、組織機構代碼證、法人身份證、備案人員身份證復印件(以上均為原件+復印件),已報名的信息安全員身份證、系統定級報告、備案表、測評報告、測評合同復印件。備案完成后,承接備案的公安機關將為被測信息系統單位出具備案證明。
    1.4 持續改進
    被測信息系統備案完成后,應根據被測單位出具的整改意見對本單位系統存在的問題進行持續整改,使信息系統持續符合相應的等級保護要求。被測單位應定期對信息系統進行安全檢查,檢查方向主要包括審計日志定期檢查與分析(包括安全設備審計日志、主機設備審計日志、應用系統審計日志等)、各設備軟件版本與補丁更新檢查(主要是主機設備和網絡設備)、各設備運行情況檢查(包括CPU、內存、存儲空間等)、重要應用數據備份與恢復檢查、機房溫濕度及環境監測、各項管理制度運行情況檢查。通過定期的安全檢查與改進,持續保障信息系統安全。
     
     

    測評中心  供稿

    ?