信息安全等级保护测评指南
信息安全等级保护测评
1
目录
• 国家对等级保护测评的要求 • 等级保护测评注意事项 • 等级保护测评要求(部分解读) • 等级保护测评过程 • 等级保护测评中常见问题
2
国家对等级保护测评的要求
《管理办法》”等级保护的实施与管理“第十四条
信息系统建设完成后,运营、使用单位或者其主管部门
应当选择符合本办法规定条件的测评单位,依据《信息 系统安全等级保护测评要求》等技术标准,定期对信息 系统安全等级状况开展等级测评。
给被检查方,请被检查方当前提供并进行查验;
所有需要以检测方式检查的项目,按检测部门或设备分类后,根
据具体情况选择检测顺序。
17
等级保护测评方法(2)
第二十二条 我省对测评机构实施备案制度。符合第二十一条规
定的条件,承担第二级以上的计算机信息系统测评工作的机构应 当到省公安厅公共信息网络安全监察部门备案。
第二十五条 第二级以上的计算机信息系统建设完成后,使用单
位应当委托符合规定的测评机构安全测评合格方可投入使用。测 评活动应当接受公安机关公共信息网络安全监察部门的监督。
等级测评机构,是指具备本规范的基本条件,经能力评估和审
核,由省级以上信息安全等级保护工作协调(领导)小组办公 室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级保护测评的执行主体应当是具有相关资质的、独立的测评
服务机构。
只有独立的第三方,才能保证测评工作的客观性和公正性。
9
等级测评基本原则
供我省信息系统运营、使用单位、主管部门选用提供各类测评服 务(差距评估、验收性测评、年度测评工作)。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五研究所) 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司
7
等级保护测评基本概念
测评机构应当按照有关规定和统一标准提供“客观、公正、
安全”的测评服务,按照统一的测评报告模版出具测评报告。
测评机构可以从事等级测评活动以及信息系统安全等级保护
定、安全建设整改、信息安全等级保护宣传教育等工作的 技术支持。
10
等级测评的特点
管理角度:
强制执行:管理办法强制周期性执行 执行主体:符合条件的测评机构 执行对象:定级的信息系统 服务主体:国家信息安全监管部门/主管部门/运维、使用单位
12
等级保护测评工作开展
系统改建方案设计:由信息系统的运营使用单位自己组织人员或
由第三方评估机构,采用等级测评方法对信息系统安全保护现状 与等级保护基本要求进行符合性评估,得到与相应等级要求的差 距项,确定安全需求,为制定安全改建方案提供依据。是一种需 求分析方法,不受测评执行主体的限制。
等级保护建设完成后的测评,由具有相关资质、独立的第三方测
第三级信息系统应当每年至少进行一次等级测评,第四
级信息系统应当每半年至少进行一次等级测评,第五级 信息系统应当依据特殊安全需求进行等级测评。
3
广东省安全保护条例对测评要求
第十二条 第二级以上计算机信息系统建设完成后,运营、
使用单位或者其主管部门应当选择符合国家规定的安全 等级测评机构,依据国家规定的技术标准,对计算机信 息系统安全等级状况开展等级测评,测评合格后方可投 入使用。
5
广东省信息安全等级测评工作细则(试行)
计算机信息系统投入使用后,存在下列情形之一的,应当进行安
全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件; (二)安全测评时间满一年; (三)发生危害计算机信系统安全的案件或安全事故; (四)公安机关公共信息网络安全监察部门根据应急处置工作的
中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、 设备。测评的层面涉及物理安全、网络安全、主机安全、应用系 统安全、数据安全以及安全管理。 测评要求
使用测评表进行具体检查时,首先按询问、查验、检测等工作方
式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行; 所有以查验方式检查的项目,将需要的文档清单在检查现场提交
技术角度:
符合性测评:依据基本要求 等级化:不同级别测评强度不同
11
等级保护测评适用的阶段
在实施等级保护建设工作前,信息系统运营、使用单位可以开
展一次等级测评以确定信息系统的安全需求。
在等级保护建设完成后,通过等级测评判定信息系统是否按照
预先设定的安全模式运行,安全控制措施是否得到合理的应用, 信息系统是否达到相关标准的要求,是否具备相应等级的安全 防护能力等。
等级测评工作,是指测评机构依据国家信息安全等级
保护制度规定,按照有关管理规范和技术标准,对非 涉及国家秘密信息系统安全等级保护状况进行检测评 估的活动。 通过信息安全等级测评机构对已完成的等级保护建设的信
息系统定期进行等级测评,确保信息系统的安全保护措施 符合相应等级的安全要求。
8
等级保护测评的执行主体
评机构完成。
13
1.2.13测评与监督检查的关系
等级保护测评的操作形式
自评估 委托评估 检查评估
14
1.2.14测评工作要求
依据标准,遵循原则 恰当选取,保证强度 规范行为,减少风险
过程规范 行为规范
15
等级保护测评注意事项
16
等级保护测评方法(1)
测评方法
测评采用访谈、检查和测试三种方法,测评对象是测评实施过程
第十三条 计算机信息系统的运营、使用单位及其主管部
门应当按照国家规定定期对计算机信息系统开展安全等 级测评,并对计算机信息系统安全状况、安全管理制度 及措施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查,未达到安全 等级保护要求的,运营、使用单位应当进行整改。
4
广东省公安厅关于计算机信息系统安全保护的实施办法 (一)
需要认为应当进行安全测评;
(五)其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报告的合法性和真实性存在重大问题的,
可以向本单位所在地公安机关公共信息网络安全监察部门提出申 诉,提交异议申诉书及有关证明材料。
6
广东省等级保护测评机构
关于发布广东省信息安全等级保护测评机构的公告
(粤等保办[2010]3号)