信息系统定级与等级测评的具体过程

目录

信息系统安全定级流程图

信息系统定级的注意事项

补充内容

信息系统安全等级测评流程图 

 测评准备阶段

 测评机构职责

被测单位职责

 方案编制阶段

测评机构职责

被测单位职责

现场测评阶段 

测评机构的职责

被测单位职责

分析与报告编制阶段

测评机构职责

被测单位职责

风险控制


信息系统安全定级流程图

信息系统定级的注意事项

1、定级对象取最高值(S1 A1 G2最终取二级,A2 A2 G3最终取三级

2、信息系统定级一般是根据《信息系统安全保护等级定级指南》(GB/T 22240-2020)自主定级

补充内容

等保测评中,S2 A2 G3 是指《信息系统等级保护基本要求》里定义的要求项,其中:
1. S 是信息安全类要求,A 是服务保证类要求,G 是通用安全保护类。
2. 后面的数字代表等级,S3 的意思也就是信息安全类3级要求,以此类推。

信息系统安全等级测评流程图 

 测评准备阶段

任务输出文档文档内容
收集和分析被测系统基本情况分析报告说明被测系统的范围、安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色
工具和表单准备选用的测评工具清单、打印的各类表单:现场测评授权书、文档交接单现场测评授权、交接的文档名称

 测评机构职责

  1. 向被测单位介绍安全测评的意义和作用、测评流程和工作方法
  2. 了解被测单位的信息化建设状况与发展
  3. 指出被测单位应提供的基本资料
  4. 向被测单位说明测评工作自身的风险和规避方法
  5. 准备被测系统基本情况调查表单
  6. 了解被测系统基本情况
  7. 初步分析系统的安全情况
  8. 准备测评工具和文档

被测单位职责

  1. 向测评机构介绍本单位的信心话建设状况与发展情况
  2. 准备测评机构需要的资料
  3. 为测评人员的信息收集提供支持的协调
  4. 根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供建议
  5. 备份数据、系统,指定应急预案

 方案编制阶段

任务输出文档文档内容
测评对象确认测评方案的测评对象部分被测系统的整体结构、边界、网络区域、重要结点、测评对象等
测评指标确定测评方案的测评标准指标部分被测系统定级结果、测评指标
测评工具 接入点确定测评方案的测试工具接入点部分测试工具接入点及测试方法
测评内容确定测评方案的单项测评实施和系统测评实施部分单项测评实施内容及系统测评实施内容
测评方案编制测评方案文本项目概述、测评对象、测评标准、测试工具接入点、单项测评实施和系统测评实施内容等

测评机构职责

  1. 详细分析被测系统的整体结构、边界、网络区域、重要结点等
  2. 初步判断被测系统的安全薄弱点
  3. 分析确定测评对象、测评指标和测试工具接入点,确定测评内容和方法
  4. 编址测评方案文本,并对其内部评审
  5. 取得被测机构对测评方案所有内容的签字确认

被测单位职责

  1. 对测评方案进行认可,并签字确认

现场测评阶段 

任务输出文档文档内容
现场测评准备会议记录、确认的授权委托书、更新后的测评计划和测评程序工作计划和内容安排,双反人员的协调,被测单位应提供的配合
访谈技术安全和管理安全测评的测评结果记录或录音访谈结果
文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的符合情况
配置检查技术安全测评的网络、主机、应用测评结果记录表格检查内容的结果
工具测试技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件漏洞扫描、渗透测试、性能测试、入侵检擦和协议分析等内容的技术测试结果
实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的结果
测评结果确认线程核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件测评活动中发现的问题、问题的证据和证据源、每项检查活动中被测单位配合人员的书面认可

测评机构的职责

  1. 利用访谈、文档审查、配置检查、工具测试和实地查看的方法测评被测系统的保护措施与等级保护响应等级要求的符合情况,以及正确性和有效性

被测单位职责

  1. 协调被测系统内部相关人员的关系,配合测评工作的开展
  2. 相关人员回答测评人员的问询,对某系需要验证的内容上机进行操作
  3. 相关人员协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响
  4. 相关人员协助测评人员完成业务相关内容的问询、验证和测试
  5. 相关人员对测评结果进行确认

分析与报告编制阶段

测评机构职责

  1. 分析单向测评结果和系统整体测评结果,形成等级测评结论
  2. 编址等级测评报告
  3. 评审等级测评报告

被测单位职责

  1. 签收测评报告

风险控制

1、配置检查和实地查看影响系统正常运行

2、工具测试影响系统正常运行

3、敏感信息泄露

~over~ 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/576964.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

fastadmin点击列表字段复制推广链接

fastadmin点击列表字段复制推广链接 要实现点击复制的功能需要引入外部js分享 利用clipboardjs实现复制功能 下载了之后需要引入外部js 1:把需要的js放在这个路径下 2.去require-frontend.js文件进行配置 3.在使用的js中引入外部js 实际调用

SpringCloudAlibaba Seata在Openfeign跨节点环境出现全局事务Xid失效原因底层探究

原创/朱季谦 曾经在SpringCloudAlibaba的Seata分布式事务搭建过程中,跨节点通过openfeign调用不同服务时,发现全局事务XID在当前节点也就是TM处,是正常能通过RootContext.getXID()获取到分布式全局事务XID的,但在下游节点就出现获…

【数据库系统概论】第3章-关系数据库标准语言SQL(3)

文章目录 3.5 数据更新3.5.1 插入数据3.5.2 修改数据3.5.3 删除数据 3.6 空值的处理3.7 视图3.7.1 建立视图3.7.2 查询视图3.7.3 更新视图3.7.4 视图的作用 3.5 数据更新 3.5.1 插入数据 注意:插入数据时要满足表或者列的约束条件,否则插入失败&#x…

《Nature》预测 2024 科技大事:GPT-5预计明年发布等

《Nature》杂志近日盘点了 2024 年值得关注的科学事件,包括 GPT-5 与新一代 AlphaFold、超算 Jupiter、探索月球任务、生产「超级蚊子」、朝向星辰大海、试验下一代新冠疫苗、照亮暗物质、意识之辩第二回合、应对气候变化。 今年以来,以 ChatGPT 为代表…

CentOS 7 用户必看SQLite 升级指南:轻松将旧版 3.7.17 升级至3.41.2详细教程

0.背景 编写此文是因为在 Linux 上跑项目时报错: sqlite3.NotSupportedError: deterministicTrue requires SQLite 3.8.3 or highe(此时已经安装了 python3)。sqlalchemy.exc.OperationalError: (sqlite3.OperationalError) near "(&q…

新/旧版本 QT 下载,全攻略【省资源下载币专用】

看到好多朋友找不到指定版本的QT下载路径,特此更新一篇新/旧版本 QT 下载攻略 收藏一下吧,需要的时候方便查找,能为你省下好多资源下载币。 通过图示可以看出,新旧版本的界限并没有那么明晰,如果你需要的版本两个链接…

Podman配置mongodb

文章目录 查询镜像拉取镜像查看镜像运行容器创建root用户 查询镜像 podman search mongo拉取镜像 podman pull docker.io/library/mongo查看镜像 podman images运行容器 podman run -d -p 27017:27017 --namemongodb-test docker.io/library/mongo创建root用户 podman exe…

AI Earth平台简介

AI Earth地球科学云平台由达摩院-视觉技术实验室打造,基于地球科学智能计算分析方面的创新研究,致力于解决地球科学领域基础性、前沿性、业务性问题,目标成为国内一流的地球科学云计算平台。(摘自官网) 下面&#xff…

网站数据统计基础:PV、UV与IP的解读

在数字时代,了解和分析网站流量至关重要。无论是新手网站所有者还是资深市场分析师,掌握如何解读网站的PV、UV和IP等指标对于评估网站表现、优化用户体验和制定有效市场策略都是必不可少的。以下是对这三个关键指标的详细介绍。 文章目录 1. PV&#xff…

网页乱码问题(edge浏览器)

网页乱码问题(edge) 文章目录 网页乱码问题(edge)前言一、网页乱码问题1.是什么:(描述)2.解决方法:(针对edge浏览器)(1)下载charset插…

k8s 组件

k8s: kubernets:8个字母省略,就是k8s. 自动部署,自动扩展和管理容器化的应用程序的一个开源系统。 k8s是负责自动化运维管理多个容器化程序的集群,是一个功能强大的容器编排工具。 以分布式和集群化的方式进行容器管理。 1.20面试版本 …

[PyTorch][chapter 8][李宏毅深度学习][DNN 训练技巧]

前言: DNN 是神经网络的里面基础核心模型之一.这里面结合DNN 介绍一下如何解决 深度学习里面过拟合,欠拟合问题 目录: DNN 训练常见问题 过拟合处理 欠拟合处理 keras 项目 一 DNN 训练常见问题 我们在深度学习网络训练的时候经常会遇到下面…

Oracle初始化参数修改后,是否需要重启才能生效

可以查看 v$parameter或v$parameter2动态性能视图的ISSYS_MODIFIABLE列。此列指示是否可以使用 ALTER SYSTEM 更改参数以及更改何时生效: IMMEDIATE - 无论用于启动实例的参数文件的类型如何,都可以使用 ALTER SYSTEM 更改参数。 更改立即生效。DEFERRE…

易基因2023年度DNA甲基化研究项目文章精选

大家好,这里是专注表观组学十余年,领跑多组学科研服务的易基因。 2023年,易基因参与的DNA甲基化研究成果层出不穷,小编选取其中5篇不同方向的论文与您一起来回顾。 01、易基因微量DNA甲基化测序助力中国科学家成功构建胚胎干细胞…

工厂设备维护管理有什么比较好的解决方案?哪家的工单管理系统功能强大?

生产设备对于工厂来说是十分宝贵的资产。一方面,工厂依赖设备进行生产活动,一旦设备故障就会影响产量;另一方面,工厂中的生产设备一般造价都比较高昂,如果出现故障就会增加工厂的生产成本;再一方面&#xf…

Linux部署MeterSphere结合内网穿透实现远程访问服务管理界面

文章目录 前言1. 安装MeterSphere2. 本地访问MeterSphere3. 安装 cpolar内网穿透软件4. 配置MeterSphere公网访问地址5. 公网远程访问MeterSphere6. 固定MeterSphere公网地址 前言 MeterSphere 是一站式开源持续测试平台, 涵盖测试跟踪、接口测试、UI 测试和性能测试等功能&am…

makefile教程(1)

makefile教程 makefile是什么: makefile是用户自行完成的IDE(integrated development environment集成开发环境)程序,与传统的操作系统下的编译不同,makefile可以通过用户自行安排,决定文件的编译顺序&am…

第 377 场周赛虚拟参赛记录及补题

最小数字游戏 3 题目 - 思路 模拟代码 class Solution { public:vector<int> numberGame(vector<int>& nums) {sort(nums.begin(),nums.end());vector<int> ans;for (int i 0;i < nums.size();i ) if (i&1)ans.push_back(nums[i-1]);else ans.…

postman的下载安装和使用

第一章、使用postman向后端发送请求 1.2&#xff09;postman下载与安装使用 我的百度网盘postman点击下载 提取码&#xff1a;bybp 下载后双击.exe文件直接安装 点击此次创建集合 点击此处创建请求 1.2&#xff09;发送get请求 选择自己的请求方式&#xff0c;输入请求…

Uboot

这里写目录标题 什么是Bootloader?Bootloader启动流程NAND Flash uboot是怎么和内核完成参数传递的&#xff1f; 什么是Bootloader? Linux系统要启动就必须需要一个 bootloader程序&#xff0c;也就说芯片上电以后先运行一段bootloader程序。 这段 **bootloader程序会先初始…