等级保护测试实施方案
④ 安全整改确 认
25
(二)等保测评过程和内容:测评准备阶段
1、项目启动
• 组建项目测评组; • 编制项目计划书; • 确定测评委托单位应
提供的资料。
2、资料收集和分析
• 查阅定级报告、系统 描述文件、系统安全 设计方案、自查或上 次等保测评报告;
• 根据查阅到的系统情 况调整调查表内容;
• 发放调查表给测评委 托单位。
接入互联网,部分功能对外开放
用户较多
实时性较高
19
17
(二)等保测评过程和内容:等级保护综合测评
物理安全
网络安全
技
术
主机系统安全
要
求
应用安全
数据安全
综合测评
信息 系统
安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理
管 理 要 求
20
(二)等保测评过程和内容:项目测评手段
6个关键因素, 逐步深化等级保护测评实Fra bibliotek方案1
主题1
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
2
背景相关内容
① 其他行业测评要求及开展等 保测评情况;
② 等保测评要求及开展等保测 评情况;
③ 各行业开展等保测评对比情 况
2
行业层面
1
国家层面
① 国家法律(定期对定级 的信息系统进行等级测 评)
第十四条:明确规定,信息系统建设完成后,运营、 使用单位或者其主管部门应当选择符合本办法规定条件 的测评机构,依据《信息系统安全等级保护测评要求》 等技术标准,定期对信息系统安全状况开展等级测评;
第三级信息系统应当每年至少进行一次等级测评,第 四级信息系统应当每半年至少进行一次等级测评,第五 级信息系统应当依据特殊安全需求进行等级测评。
3级系统1年 4级系统半年
有
2012年开展
完成730套
完成300多
3级系统1年
有
信息系统
套信息系统
4级系统半年
2011年开展
完成800套 信息系统
完成200套 左右
3级系统3年 4级系统2年
有(新成立) 2015年开展
90%
3级系统3年
3/1
4级系统2年
新成立
开展较晚
5
已经开展的等级 保护测评工作 信息系统定级; 信息系统测评; 信息系统测评
6
主题2
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
7
项目需求理解
等级保护测评 的必要性
1、国家要求;
2、行业要求;
3、企业要求。
需解决的问题
项
1、明确受测系统筛选规则,
目
确定受测系统及相关的测评 对象范围;
需
2、明确测评工作目标,安 全测评工作指导,满足等级
求
保护基本要求;
小结
运营、使用单位或主管部门 选择符合要求的测评机构进 行等保测评
3级系统每年一次等保测评; 4级系统每半年进行一次等保
测评; 5级系统根据特殊安全需求进
行等保测评。
4级及以上系统每两年进行一
次等保测评;
3级以下系统每三年进行一次
等保测评;
期间应每年开展安全自评估;
新系统上线一年后可进行等
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006); 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006); 《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006); 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006); 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2006)。
① 对标 ② 合规 ③ 差距 ④ 改进
16
等级保护测评的重要性
信息系统 定级
等级变更
总体安全 规划
新系统
信 息 系
安全设计 统 与实施 等
级 保 护 测 评
安全运行 与维护
信息系统 终止
旧系统
局部调整
信息系统等级保护测评
17
等保测评实施基本要点:3个要点循序渐进
等保测评实施基本要点
受测系统筛选
受测信息系统筛选方法 1
保测评。
4
2、行业开展等保测评工作与其他行业对比
电力 行业
金融 行业
医疗 行业
XX 行业
与电力 行业对 比比重
信息系统定级 信息系统测评 测评周期 专业测评团队 开展情况 测评完成程度
完成984套 信息系统
完成678套 信息系统
3级系统1年 4级系统半年
有
2011年开展
完成700套 信息系统
完成400多 套信息系统
评 评价:安全测评评
价、符合性评价
测
技术测试:主机、网络/安全设
查
备漏洞扫描等
查看配置:主机、网络/安全设备、数据库安
观
全配置检查
现场观察:物理环境观察、逻辑结构和物理部署的对比观察
审
查看资料:管理制度和策略的详细分析、管理制度和策略对标分析等
问
调研访谈:业务访谈、资产访谈与确认、安全技术访谈、安全管理访谈等
2、单元测评结果确定
• 汇总每个测评对象在每个 测评单元的单项测评结果;
• 判断每个测评对象的单元 测评结果。
3、整体测评
• 分析不符合和部分符合的 测评项与其他测评项(包 括单元内、层面间、区域 间)之间的关联关系及对 结果的影响情况。
6、测评报告编制
• 概述测评项目情况; • 描述被测系统情况; • 描述测评范围和方法; • 描述整体测评情况; • 汇总测评结果。
• 具备权威性的测评报告
测评报告 • 有测评资质的机构
• 有成熟案例的机构
整改建议
• 安全整改可落地性和可操作性 • 沟通协商一致
11
主题3
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
12
内容设置
1
信息安全等 级保护政策
和依据
3
等级保护测 评实施过程
和内容
2
等级保护测 评方法论
物理相关 负责人
23
安全问题与解决方法匹配
需解决的问题
受测系统筛选 1、选定有一定代表意义的受测系统, 针对选定的系统进行严格的等保测评。
等保测评
2、具备一定权威性的等保测评报告。
安全整改 3、提供安全整改建议,按照安全整 改建议进行整改满足等保基本要求。
解决方法
(一)受测系统筛选方法
1
受测系统业务量; 受测系统重要性; 受测系统实施性。
② 政策要求(运营、使用 单位或主管部门选择符 合要求的测评机构进行 等保测评)
③ 标准要求
背景相关内容 3
企业层面
① 已开展的等保测评工作; ② 未开展等保测评现状; ③ 建议等保测评系统;
3
1、国家政策和行业要求
国家 层面
2007年公安部会同国家保密局、国家密码管理局和 国务院信息化工作办公室下发《信息安全等级保护管理 办法》(公通字[2007]43号);
4
等级保护测 评安全整改
建议
信息安全等级保护工作方面的政策、制度文件
14
等保建设依据:实施过程与等级相关标准
行业定级指导
15
等级保护测评项目依据
1) 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008); 2) 《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448-2012); 3) 《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012); 4) 《信息技术 信息安全技术 信息安全管理体系要求》(ISO27001-2013); 5) 《计算机信息系统安全等级划分准则》(GB17859-1999)及其系列配套标准;
3、工具和表单准备 • 调试测评工具; • 模拟测评; • 准备和打印表单。
26
(二)等保测评过程和内容:方案编制阶段
1、测评对象确认
• 识别被测系统等级; • 识别被测系统的整体结构; • 识别被测系统的边界; • 识别被测系统的网络区域。
2、测评指标确定
• 识别被测系统业务信息和 系统服务安全保护等级;
① 测评工作准 备
② 测评资料收 集
③ 工作启动
① 业务调研 ② 资产调研与
确认 ③ 扫描方案编
制
① 测评工具准 备
② 现场测评准 备
③ 脆弱性自动 检测
④ 安全技术测 评
⑤ 安全管理测 评
Step 4
Step 5
① 综合分析与 结论
② 测评报告编 制
① 安全整改计 划
② 安全整改方 案
③ 安全整改实 施与跟踪
(二)等保测评过程和内容
2
等级保护测评手段; 等级保护综合测评; 等级保护测评过程。
(三)安全整改建议
3
确定整改期限和责任部门;
2种安全改进建议;
技术改进组合。
24
(二)等保测评过程和内容:5个阶段,20项任务
测评准备
调研与方案编制
现场测评
测评报告
安全整改
Step 1
Step 2
Step 3
• 选择对应等级的ASG三类 安全要求作为测评指标。
3、测评工具接入的 确定
• 确定工具测试的测 评对象;
• 限制测试路径。
4、测评内容确定
• 识别每个测评对象 对应的测评指标。
5、测评指导书开发
• 从已有的测评指导 书中选择与测评对 象对应的手册。
