等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
科学的手段和方法
采用6种方式,逐步深化的测试手段
调研访谈(业务、资产、安全技术和安全管理);
查看资料(管理制度、安全策略);
现场观察(物理环境、物理部署);
查看配置(主机、网络、安全设备);
技术测试(漏洞扫描);
评价(安全测评、符合性评价)。
安全技术测评:
安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全。
安全管理测评:
安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
信息系统全生命周期
信息系统全生命周期分为「信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止」等五个阶段。
信息系统定级
定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照「自主定级、专家评审、主管部门审批、公安机关审核」的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照「谁主管谁负责,谁运营谁负责」的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
总体安全规划
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
安全设计与实施
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施
安全运行维护
安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南
信息系统终止
信息系统终止阶段是等级保护实施过程中的后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全
实施的基本流程
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实
展开全文