目录
信息系统安全定级流程图
信息系统定级的注意事项
补充内容
信息系统安全等级测评流程图
测评准备阶段
测评机构职责
被测单位职责
方案编制阶段
测评机构职责
被测单位职责
现场测评阶段
测评机构的职责
被测单位职责
分析与报告编制阶段
测评机构职责
被测单位职责
风险控制
信息系统安全定级流程图
信息系统定级的注意事项
1、定级对象取最高值(S1 A1 G2最终取二级,A2 A2 G3最终取三级)
2、信息系统定级一般是根据《信息系统安全保护等级定级指南》(GB/T 22240-2020)自主定级
补充内容
等保测评中,S2 A2 G3 是指《信息系统等级保护基本要求》里定义的要求项,其中:
1. S 是信息安全类要求,A 是服务保证类要求,G 是通用安全保护类。
2. 后面的数字代表等级,S3 的意思也就是信息安全类3级要求,以此类推。
信息系统安全等级测评流程图
测评准备阶段
任务 | 输出文档 | 文档内容 |
收集和分析 | 被测系统基本情况分析报告 | 说明被测系统的范围、安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色 |
工具和表单准备 | 选用的测评工具清单、打印的各类表单:现场测评授权书、文档交接单 | 现场测评授权、交接的文档名称 |
测评机构职责
- 向被测单位介绍安全测评的意义和作用、测评流程和工作方法
- 了解被测单位的信息化建设状况与发展
- 指出被测单位应提供的基本资料
- 向被测单位说明测评工作自身的风险和规避方法
- 准备被测系统基本情况调查表单
- 了解被测系统基本情况
- 初步分析系统的安全情况
- 准备测评工具和文档
被测单位职责
- 向测评机构介绍本单位的信心话建设状况与发展情况
- 准备测评机构需要的资料
- 为测评人员的信息收集提供支持的协调
- 根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供建议
- 备份数据、系统,指定应急预案
方案编制阶段
任务 | 输出文档 | 文档内容 |
测评对象确认 | 测评方案的测评对象部分 | 被测系统的整体结构、边界、网络区域、重要结点、测评对象等 |
测评指标确定 | 测评方案的测评标准指标部分 | 被测系统定级结果、测评指标 |
测评工具 接入点确定 | 测评方案的测试工具接入点部分 | 测试工具接入点及测试方法 |
测评内容确定 | 测评方案的单项测评实施和系统测评实施部分 | 单项测评实施内容及系统测评实施内容 |
测评方案编制 | 测评方案文本 | 项目概述、测评对象、测评标准、测试工具接入点、单项测评实施和系统测评实施内容等 |
测评机构职责
- 详细分析被测系统的整体结构、边界、网络区域、重要结点等
- 初步判断被测系统的安全薄弱点
- 分析确定测评对象、测评指标和测试工具接入点,确定测评内容和方法
- 编址测评方案文本,并对其内部评审
- 取得被测机构对测评方案所有内容的签字确认
被测单位职责
- 对测评方案进行认可,并签字确认
现场测评阶段
任务 | 输出文档 | 文档内容 |
现场测评准备 | 会议记录、确认的授权委托书、更新后的测评计划和测评程序 | 工作计划和内容安排,双反人员的协调,被测单位应提供的配合 |
访谈 | 技术安全和管理安全测评的测评结果记录或录音 | 访谈结果 |
文档审查 | 管理安全测评的测评结果记录 | 管理制度和管理执行过程文档的符合情况 |
配置检查 | 技术安全测评的网络、主机、应用测评结果记录表格 | 检查内容的结果 |
工具测试 | 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 | 漏洞扫描、渗透测试、性能测试、入侵检擦和协议分析等内容的技术测试结果 |
实地查看 | 技术安全测评的物理安全和管理安全测评结果记录 | 检查内容的结果 |
测评结果确认 | 线程核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件 | 测评活动中发现的问题、问题的证据和证据源、每项检查活动中被测单位配合人员的书面认可 |
测评机构的职责
- 利用访谈、文档审查、配置检查、工具测试和实地查看的方法测评被测系统的保护措施与等级保护响应等级要求的符合情况,以及正确性和有效性
被测单位职责
- 协调被测系统内部相关人员的关系,配合测评工作的开展
- 相关人员回答测评人员的问询,对某系需要验证的内容上机进行操作
- 相关人员协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响
- 相关人员协助测评人员完成业务相关内容的问询、验证和测试
- 相关人员对测评结果进行确认
分析与报告编制阶段
测评机构职责
- 分析单向测评结果和系统整体测评结果,形成等级测评结论
- 编址等级测评报告
- 评审等级测评报告
被测单位职责
- 签收测评报告
风险控制
1、配置检查和实地查看影响系统正常运行
2、工具测试影响系统正常运行
3、敏感信息泄露
~over~