信息安全等级保护测评服务
共 3684字,需浏览 8分钟
·
2020-11-19 15:17
产品亮点
产品说明
服务内容
1、测评目的
通过对单位被测系统物理环境、网络设备、服务器群以及应用软件系统实施等级保护测评,明确该系统的安全建设现状,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施,使该系统满足我国关于等级保护相应级别的具体要求,增加信息系统安全的规范性和有效性,提高单位的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。
2、参照标准
测评机构应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
- 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
- 《信息系统安全保护等级定级指南》(GB/T 22240-2008)
- 《信息系统安全等级保护实施指南》(GB/T 25058-2010 )
- 《信息系统安全等级保护基本要求》(GB/T 22239-2008)
- 《信息系统安全等级保护测评要求》(GB/T 28448-2012)
- 《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)
- 《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)
- 《计算机信息系统安全等级保护通用技术要求》(GAT 390-2002)
- 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
- 《信息系统安全工程管理要求》(GB/T20282-2006)
- 《信息系统等级保护安全设计技术要求》(GB/T 25070-2010 )
- 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
3、等级测评过程
等级保护分为六个可操作性步骤:定级、备案、初次测评、建设整改、二次测评、监督检查,具体工作过程中可能存在交叉现象,以下为具体的工作步骤和工作内容。
3.1信息系统定级
首先梳理单位的现有系统,确定各系统的服务对象、系统边界、设备设施组成情况,根据系统遭受破坏后的影响范围和损害程度,按照《信息安全等级保护备案实施细则》(公信安[2007]1360 号)文件要求,完成各系统的定级工作,定级遵循“自主定级、专家评审、主管部门审批、公安机关审核”的原则,首先自己确定系统的数量和等级,对于不太确定的系统级别,可聘请河北省等级保护专家小组人员进行专家评审,如果单位有主管部门,确定级别后报上级主管单位批准,最终的定级情况上报公安机关进行审核和备案。
3.2备案
对于第二级以上信息系统,需要填写《定级报告》和《备案材料》,并将材料在等级确定后 30 日内,由其运营、使用单位到单位所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后 30 日内, 由其运营、使用单位到单位所在地设区的市级以上公安机关办理备案手续。
3.3初次测评
信息系统建设完成后,运营、使用单位或者其主管部门应选择符合相应法规规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
对被测系统,参照《信息系统安全等级保护基本要求》(GB/T 22239-2008) 从物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等层面进行差距分析,依据《信息系统等级保护安全设计技术要求》(GB/T 25070-2010 ),对系统进行初次安全评估。通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。测评内容:
物理环境测评:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
网络系统测评:包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。
主机与数据库测评:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等内容。
应用系统测评:包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
数据及备份恢复测评:包括数据完整性、数据保密性、备份和恢复等内容。安全管理测评:涵盖管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面。
3.4建设整改
单位按照《信息安全等级保护管理办法》(公通字[2007]43 号)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)等有关管理规范和技术标准,制定安全管理制度、落实安全责任,建议安全技术设施, 落实安全技术措施。
通过安全建设整改,确保信息系统通过相应级别的安全测评。
3.5二次测评
此阶段是等级测评完整实施阶段,通过对整改后的系统进行分析和梳理,再次实施等级测评,记录访谈检查结果,进行综合分析,梳理安全风险,测评结束后,按照《信息系统安全等级测评报告模版(2015 年版)》编写等级测评报告。
3.6监督检查
测评过程中,河北省相应级别的公安网监部门要全程督导项目实施,测评完毕后,《测评报告》要提交给公安部门存档备查。同时受理备案的公安机关会对第三级、第四级信息系统运营、使用单位的信息安全等级保护工作情况进行检查和保护。
4、测评对象
测评对象包括以下几类:
1.主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
2.办公场地;
3.整个系统的网络拓扑结构;
4.安全设备,包括防火墙、入侵检测设备和防病毒网关等;
5.边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
6.对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
7 存储被测系统重要数据的介质的存放环境;
8.承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
9 管理终端和主要业务应用系统终端;
10.能够完成被测系统不同业务使命的业务应用系统;
11.业务备份系统;
12.信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
13.涉及到信息系统安全的所有管理制度和记录。
5、测评原则
测评实施应满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
(2)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(3)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(4)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(5)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响,保证现有系统 24 小时的不间断、稳定、安全运行。
(6)非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
6、交付物
工作计划、流程、内容、及成果交付,严格遵循相关文件,根据实际情况, 开展信息系统的等级测评,测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》(2015 年版)撰写。
项目实施验收前应提交真实可靠、客观公正的评估文档,文档应包括但不限于以下内容:
1)测评方案;
2)安全建设整改建议;
3)等级测评报告;
4)公安相关部门出具的信息系统安全等级保护备案证明。
产品参数
| 交付方式 | 服务类 |
| 质保时间 | 365天 |
| 交付时间 | 30工作日 |
售后支持范围
产品资质
客户案例
1、国网冀北电力有限公司廊坊供电公司
2、国电华北电力有限公司廊坊热电厂
3、河北燕达医院
4、邯郸市眼科医院
5、廊坊经济技术开发区管理委员会
6、廊坊市公安局经济技术开发区分局
...