等级保护测评-完全过程--课件

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,ppt课件,Click to edit Master title style,等级保护测评过程,以三级为例,1,ppt课件,等级保护测评过程,主题一,1,2,3,4,等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,2,ppt课件,主题一1234等级保护测评方法论等保测评安全措施等级保护测评,等保测评概述,等级测评,是测评机构依据国家信息安全等级保护制度规定,，受,有关单位委托，按照有关管理规范和技术标准,，运用,科学的手段和方法,，,对,处理特定应用的,信息系统，采用安全技术测评和安全管理测评方式，,对,保护状况进行检测评估,，判定受测系统,的,技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议,。,3,ppt课件,等保测评概述等级测评是测评机构依据国家信息安全等级保护制度规,组合分析,1,、,等级,测评,是测评机构依据,国家信息安全等级保护制度,规定,：,国家信息化领导小组关于加强信息安全保障工作的意见,、,保护安全建设整改工作的指导意见,、,信息安全等级保护管理办法,。,2,、,受,有关单位委托，按照有关,管理规范,和,技术,标准,（相关标准关系图参见图,1,、图,2,）,定级标准,:,信息系统安全保护等级定级指南,、,计算机信息系统安全保护等级划分准则,；,建设标准：,信息系统安全等级保护基本要求,、,信息系统通用安全技术要求,、,信息系统等级保护安全设计技术要求,；,测评标准：,信息系统安全等级保护测评要求,、,信息系统安全等级保护测评过程指南,、,信息系统安全等级保护实施指南,；,管理标准：,信息系统安全管理要求,、,信息系统安全工程管理要求,。,3,、运用科学的,手段,和,方法,：,采用,6,种方式，逐步深化的测试手段,调研访谈（业务、资产、安全技术和安全管理）；,查看资料（管理制度、安全策略）；,现场观察（物理环境、物理部署）；,查看配置（主机、网络、安全设备）；,技术测试（漏洞扫描）；,评价（安全测评、符合性评价）。,4,ppt课件,组合分析1、等级测评是测评机构依据国家信息安全等级保护制度规,组合分析,4,、对处理,特定应用,的信息系统（查阅定级指南，哪些应用系统定级）,作为定级对象的信息系统应具有如下基本特征,：,具有,唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的,单位,；,具有,信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级,对象；,承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量,的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。,5,、采用,安全技术测评,和,安全管理测评,方式,：,安全,技术测评包括：物理安全、网络安全、主机安全、应用安全、数据安全,；,安全管理,测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。,6,、,对保护状况进行检测评估,，判定受测系统,的,技术和管理级别与所定安全等级要求的,符合程度,，基于符合程度给出是否满足所定,安全等级的结论,，针对安全不符合项提出,安全整改建议,。,符合程度：,综合分析具体指标符合性判断，给出抽象指标符合性判断,结果,，,汇总所有抽象指标符合判断，给出安全等级满足与否的,结论,；,安全等级结论：结合受测系统符合性程度，判断受测系统是否满足所定安全等级的结论；,安全整改建议,：,提出安全整改建议,，,汇总、分析所有不符合项对应的改进建议，组合成可单独执行的整改,建议,。,5,ppt课件,组合分析5ppt课件,主题二,1,2,3,4,等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,6,ppt课件,主题二1234等级保护测评方法论等保测评安全措施等级保护测评,等级保护完全实施过程,信息系统定级,安全总体规划,安全设计与实施,安全运行维护,信息系统终止,安全等级测评,信息系统备案,安全整改设计,等级符合性检查,应急预案及演练,安全要求整改,安全等级整改,局部调整,等级变更,7,ppt课件,等级保护完全实施过程信息系统定级安全总体规划安全设计与实施安,信息系统全生命周期分为,“,信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止,”,等五个阶段,。,信息系统定级,定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照,“,自主定级、专家评审、主管部门审批、公安机关审核,”,的原则进行。在等级保护工作中，信息系统运营使用单位和主管部门按照,“,谁主管谁负责，谁运营谁负责,”,的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管,。,总体安全规划,总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。,安全设计与实施,安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施,安全运行维护,安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南,信息系统终止,信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全,8,ppt课件,信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计,等保测评工作流程,等级测评的工作流程，依据,信息系统安全等级保护测评过程指南,，具体内容参见：,等保测评工作流程图,9,ppt课件,等保测评工作流程等级测评的工作流程，依据信息系统安全等级保,准备阶段,10,ppt课件,准备阶段10ppt课件,方案编制阶段,11,ppt课件,方案编制阶段11ppt课件,现场测评阶段,12,ppt课件,现场测评阶段12ppt课件,报告编制阶段,13,ppt课件,报告编制阶段13ppt课件,等保实施计划,安全管理调研,现场实地调研,现状调研报告,渗透,测试报告,信息,资产调研表,人工审计报告,扫描报告,基础培训,PPT,安全技术调研,信息安全,愿景制定,信息安全总体,框架设计,管理体系,技术体系,运维体系,项目,准备,等保差距报告,风险,评估报告,技能和意识培训,项目,准备,现状调研,风险与差距分析,体系规划与建立,交流、知识转移、培训、宣传,项目,验收,项目,验收,控制风险分析,等保差距分析,高危问题整改,规划报告,体系,文件,.,等保测评,14,ppt课件,等保实施计划安全管理调研现场实地调研现状调研报告安全技术调研,主题三,1,2,3,4,等级保护测评方法论,等保测评安全措施,等级保护测评概述,等级保护测评内容与方法,15,ppt课件,主题三1234等级保护测评方法论等保测评安全措施等级保护测评,等级保护综合测评,物理安全,网络安全,主机系统安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,信息,系统,综合,测评,技术要求,管理,要求,16,ppt课件,等级保护综合测评 物理安全网络安全主机系统安全应用安全数据安,等级,保护,测评,类型,等,保基本要求的三种技术类型（,S/A/G,）,S:,保护,数据,在存储、传输、处理过程中,不被泄漏、破坏和免受未,授权修改,的,信息安全类,要求,;-,物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等；,A:,保护系统,连续正常的运行,，免受对系统的未授权修改、破坏而导致系统不可用的,服务保证类,要求,;-,电力供应、资源控制、软件容错等,G:,通用,安全保护类,要求,。,-,技术类中的安全审计、管理制度等,G,A,S,17,ppt课件,等级保护测评类型等保基本要求的三种技术类型（S/A/G）GA,等级,保护,测评,指标,测评,指标,技术,/,管理,安全类,安全子类数量,S,类,(2,级,),S,类,(3,级,),A,类,(2,级,),A,类,(3,级,),G,类,(2,级,),G,类,(3,级,),F,类,(2,级,),F,类,(3,级,),要求项,控制点,二级,三级,二级,三级,技术类,物理安全,1,1,1,1,8,29,4,18,10,18,23,47,网络安全,1,1,0,0,5,31,6,7,6,7,24,40,主机安全,2,3,1,1,3,12,0,3,6,3,20,34,应用安全,4,5,2,2,1,6,2,6,7,6,21,37,数据安全,2,2,1,1,0,0,0,3,3,3,4,8,管理类,安全管理制度,0,0,7,10,0,2,3,2,7,12,安全管理机构,0,0,9,19,2,8,5,8,11,27,人员安全管理,0,0,11,16,5,4,5,4,16,20,系统建设管理,0,0,28,41,13,18,9,18,41,59,系统运维管理,0,0,27,51,42,54,12,54,69,105,合,计,66,73,236,389,18,ppt课件,等级保护测评指标测评指标技术/管理安全类安全子类数量S类S类,等保测评方法,访谈,访谈是指测评人员通过与信息系统有关人员（个人,/,群体）进行交流、讨论等活动，获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样,。,检查,检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样,。,测试,测试是指测评人员针对测评对象按照预定的方法,/,工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。,19,ppt课件,等保测评方法访谈19ppt课件,物理基本,要求中控制点与要求项各级分布,：,安全等级,控制点,要求项,第一级,7,9,第二级,9,19,第三级,10,32,第四级,10,39,物理位置的选择,（,2,项）,物理访问控制,（,4,项）,防盗窃和防破坏,（,6,项）,防雷击,（,3,项）,防火,（,3,项）,防水和防潮,（,4,项）,防静电,（,2,项）,温湿度