c
    ase analysis
    案例分析
    联系我们
    contact us
    联系人:宋经理

    座  机:028-86677012

    邮  箱:@yacc19.com
    地  址:成都市武侯区长华路19号万科汇智中心30楼
    测评
    您当前位置:首页 > 案例分析 > 案例解读 > 测评 >
    浅谈信息安全等级保护测评
       信息安全等级保护是我国信息安全建设的一项基本制度,是保障信息化健康发展的重要手段。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。
       信息安全等级保护工作主要包括系统定级、信息安全等级测评、系统备案、系统安全建设和整改、信息安全检查等五个方面。
    1.1 系统定级
       信息安全等级保护对信息和信息载体按照重要性等级分级别进行保护,根据《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级依据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素, 将信息系统的安全保护等级分为五级:
        ******级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
        第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
        第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
        第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
        第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
    1.2 系统测评
        在信息系统确定相应的信息安全保护等级后,测评单位将依据GB/T 22239-2008 《信息系统安全等级保护基本要求》、GB/T 28448-2012《信息系统安全等级保护测评要求》等文件法规、国家标准对信息系统进行符合性测试评估。
        等级测评范围分为两类:安全管理和安全技术类。
        其中安全管理测评内容包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等五个方面。
        安全技术测评内容包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复五个方面。
        具体测评流程如图1所示。
                                     
                                                                             图 1 测评流程图
        在完成信息系统测评后,测评单位将为被测单位出具测评报告及整改意见,测评单位根据整改意见对目前信息系统存在的安全漏洞隐患进行整改。在整改完成后,测评单位将对整改后系统进行复测,保障信息系统符合规定的信息安全等级。
    1.3 系统备案
        信息系统在完成等级保护测评工作后,属于二级以上等级保护的系统应按照《信息安全等级保护备案实施细则》进行备案。
        其中隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。
        隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
        跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
        在备案过程中,被测信息系统单位应按照公安厅要求准备相应的备案材料,其中包括:公司税务登记证、营业执照、组织机构代码证、法人身份证、备案人员身份证复印件(以上均为原件+复印件),已报名的信息安全员身份证、系统定级报告、备案表、测评报告、测评合同复印件。备案完成后,承接备案的公安机关将为被测信息系统单位出具备案证明。
    1.4 持续改进
    被测信息系统备案完成后,应根据被测单位出具的整改意见对本单位系统存在的问题进行持续整改,使信息系统持续符合相应的等级保护要求。被测单位应定期对信息系统进行安全检查,检查方向主要包括审计日志定期检查与分析(包括安全设备审计日志、主机设备审计日志、应用系统审计日志等)、各设备软件版本与补丁更新检查(主要是主机设备和网络设备)、各设备运行情况检查(包括CPU、内存、存储空间等)、重要应用数据备份与恢复检查、机房温湿度及环境监测、各项管理制度运行情况检查。通过定期的安全检查与改进,持续保障信息系统安全。
     
     

    测评中心  供稿