收藏
下载资源

等级保护测评(26).

上传人:我** 文档编号:117886816 上传时间:2019-12-11 格式:PPTX 页数:57 大小:1.30MB
返回 下载 相关 举报
等级保护测评(26)._第1页
第1页 / 共57页
等级保护测评(26)._第2页
第2页 / 共57页
等级保护测评(26)._第3页
第3页 / 共57页
等级保护测评(26)._第4页
第4页 / 共57页
等级保护测评(26)._第5页
第5页 / 共57页
点击查看更多>>
资源描述

《等级保护测评(26).》由会员分享,可在线阅读,更多相关《等级保护测评(26).(57页珍藏版)》请在金锄头文库上搜索。

1、等级保护测评 程晓峰 目录 等级保护测评基本概念 等级保护测评法律法规 等级保护测评基本内容 等级保护测评案例介绍 等级保护测评 基本概念 等级测评级测评 工作,是指测评测评 机构依据国家信息安全等级级 保护护制度规规定,按照有关管理规规范和技术标术标 准,对对非 涉及国家秘密信息系统统安全等级级保护护状况进进行检测评检测评 估的活动动。 通过过信息安全等级测评级测评 机构对对已完成的等级级保护护建 设设的信息系统统定期进进行等级测评级测评 ,确保信息系统统的安 全保护护措施符合相应应等级级的安全要求。 测评机构承担的主要义务 从事信息系统安全等级测评 的机构,应当履行下列义 务: (一)遵守

2、国家有关法律法规和技术标 准,提供安 全、客观、公正的检测评 估服务,保证测评 的 质量和效果; (二)保守在测评 活动中知悉的国家秘密、商业秘密 和个人隐私,防范测评风险 ; (三)对测评 人员进 行安全保密教育,与其签订 安全 保密责任书,规定应当履行的安全保密义务 和 承担的法律责任,并负责检查 落实。 测评机构不得从事的工作 (1)影响被测评信息系统正常运行,危害被测评信息系统 安全; (2)泄露知悉的被测评单位及被测评信息系统的国家秘密 和工作秘密; (3)故意隐瞒测评过程中发现的安全问题,或者在测评过 程中弄虚作假,未如实出具等级测评报告; (4)未按规定格式出具等级测评报告; (

3、5)非授权占有、使用等级测评相关资料及数据文件; (6)分包或转包等级测评项目; (7)信息安全产品开发、销售和信息系统安全集成; (8)限定被测评单位购买、使用其指定的信息安全产品; (9)其他危害国家安全、社会秩序、公共利益以及被测单 位利益的活动。 等级测评师 管理 测评 人员参加由等级保护评 估中心举办 的专门 培训、考试并取得评估中心颁发 的等级测评师证书 (等级测评师 分 为初级、中级和高级)。 等级测评 人员需持等级测评师证 上岗。 高级测评师 一般是测评 机构技术负责 人 中级测评师 一般是测评项 目经理 初级测评师 一般是测评实 施工程师(分 为技术和管理两类) 测评报 告

4、测评 机构应按照公安部统一制订的信 息系统安全等级测评报 告模版(试行) 格式出具测评报 告 等级保护测评适用的阶段 在实施等级保护建设工作前,一般在系统备 案 后,信息系统运营、使用单位可以开展一次等 级测评 以确定信息系统安全现状与等级保护基 本要求间差距,也称为差距测评 或差距分析。 在等级保护建设整改完成后,通过等级测评 判 定信息系统是否按照预先设定的安全模式运行 ,安全控制措施是否得到合理的应用,信息系 统是否达到相关标准的要求,是否具备相应等 级的安全防护能力等,也称为第三方测评 或验 收测评 。 测评原则 a) 客观性和公正性原则 测评工作虽然不能完全摆脱个人主张或判断,但测评

5、人员应当在没有 偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基 于明确定义的测评方法和过程,实施测评活动。 b) 经济性和可重用性原则 基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果 ,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有 重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前 系统的安全状态。 c) 可重复性和可再现性原则 无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实 施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同 测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重 复执行相同测评的结果的一致性。

6、 d) 符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的 判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的 要求。 当前的信息安全等级测评 有关法规 信息安全等级保护管理办法(公通字200743号) 广东省计算机信息系统安全保护条例 广东省公安厅关于计算机信息系统安全保护的实施办法 关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计 算机信息系统安全保护的实施办法的通知 广公(网监)2008633号 关于开展信息安全等级保护测评体系建设试点工作的通知(公信安 2009812号) 关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监) 20

7、09421号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信 安2010303号 ) 信息安全等级保护测评工作管理规范(试行) 信息安全等级测评机构能力要求(试行) 等级测评师培训和考试指南 国家对等级保护测评的要求 管理办法”等级保护的实施与管理“第十四条 信息系统建设完成后,运营、使用单位或者其主管 部门应当选择符合本办法规定条件的测评单 位, 依据信息系统安全等级保护测评 要求等技术标 准,定期对信息系统安全等级状况开展等级测评 。 第三级信息系统应当每年至少进行一次等级测评 , 第四级信息系统应当每半年至少进行一次等级测评 ,第五级信息系统应当依据特殊安全需求进行

8、等级 测评。 国家对测评机构的基本要求 在中华人民共和国境内注册成立(港澳台地区除外 ); 由中国公民投资、中国法人投资或者国家投资的企 事业单位(港澳台地区除外); 从事相关检测评 估工作两年以上,无违法记录; 工作人员仅限于中国公民; 法人代表及主要业务、技术人员无犯罪记录; 使用的技术装备、设施应当符合本办法对信息安全 产品的要求; 具有完备的保密管理、项目管理、质量管理、人员 管理和培训教育等安全管理制度; 对国家安全、社会秩序、公共利益不构成威胁。 广东省安全保护条例对测评 要求 第十二条 第二级级以上计计算机信息系统统建设设完成后,运 营营、使用单单位或者其主管部门应门应 当选择选

9、择 符合国家规规定的 安全等级测评级测评 机构,依据国家规规定的技术标术标 准,对计对计 算 机信息系统统安全等级级状况开展等级测评级测评 ,测评测评 合格后方 可投入使用。 第十三条 计计算机信息系统统的运营营、使用单单位及其主管 部门应门应 当按照国家规规定定期对计对计 算机信息系统统开展安全 等级测评级测评 ,并对计对计 算机信息系统统安全状况、安全管理制 度及措施的落实实情况进进行自查查。计计算机信息系统统安全状 况经测评经测评 或者自查查,未达到安全等级级保护护要求的,运 营营、使用单单位应应当进进行整改。 广东东省公安厅厅关于计计算机信息系统统安全保护护的实实施办办法 第二十二条

10、我省对测评 机构实施备案制度。符 合第二十一条规定的条件,承担第二级以上的 计算机信息系统测评 工作的机构应当到省公安 厅公共信息网络安全监察部门备案。 第二十五条 第二级以上的计算机信息系统建设 完成后,使用单位应当委托符合规定的测评 机 构安全测评 合格方可投入使用。测评 活动应 当 接受公安机关公共信息网络安全监察部门的监 督。 广东东省公安厅厅关于计计算机信息系统统安全保护护的实实施办办法 第二十六条 计算机信息系统运营、使用单位委 托安全测评 机构测评 ,应当提交下列资料: (一)安全测评 委托书; (二)定级报 告 (三)计算机信息系统应 用需求、系统结 构拓 扑及说明、系统安全组

11、织结 构和管理制度、安 全保护设 施设计实 施方案或者改建实施方案、 系统软 件硬件和信息安全产品清单。 (四)安全策略文档 广东东省信息安全等级测评级测评 工作细则细则 (试行 ) 计算机信息系统投入使用后,存在下列情形之一的, 应当进行安全自查,同时委托安全测评机构进行安全 测评: (一)变更关键部件; (二)安全测评时间满 一年; (三)发生危害计算机信系统安全的案件或安全事故 ; (四)公安机关公共信息网络安全监察部门根据应急 处置工作的需要认为应 当进行安全测评; (五)其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报 告的合法性和真实性存在重 大问题的,可以向本单位所

12、在地公安机关公共信息网 络安全监察部门提出申诉,提交异议申诉书及有关证 明材料。 广东东省转发转发 开展电电子政务务信息安全风险评风险评 估 省发改委、省公安厅、省保密局转发 关于加 强国家电子政务工程建设项 目信息安全风险 评估工作的通知(粤发改高2009182号 文) 省电子政务项 目应开展信息安全等级测评 和 风险评 估工作,作为项 目竣工验收的重要内 容。 非涉密项目在完成后试运行期间,向相关评 测机构提出评估申请。 评测 机构与承建单位原则上不能为同一家。 等级测评 和风险评 估费用计入项目总投 资。 公安部对测评对测评 机构的明确要求 对等级测评 机构管理相关问题进 行了明确,要求

13、开 展等级测评 的单位不得从事下列活动: 一是承担信息系统安全建设整改工作; 二是将等级测评 任务分包、外包; 三是信息安全产品开发、营销和信息系统集成活动 ; 四是限定被测评单 位购买、试用其指定的信息安全 产品; 五是未经许可占有、使用被测评单 位有关信息、资 料及数据文件。 关于明确信息安全等级级保护测评护测评 机构管理有关事项项的通知 一、进进一步规规范测评测评 服务务管理。根据公安部十一局要求, 为确保测评 活动的公正性,承担测评 工作的机构不宜从 事信息安全整改、集成服务。 二、提高测评测评 工作装备备水平。为统 一工具标准,我总队 制定了信息安全等级保护测评 工具选用指引(以下

14、简称指引),对测评 所需的必备工具和选用工具进 行了明确。 三、推动动信息安全等级级保护护整改。各级公安网监部门要 按照广东省深化信息系统安全等级保护工作方案要求 ,加大各类测评 机构和安全服务机构的监督指导力度, 发挥 其作用,为信息系统运营、使用单位、主管部门提 供差距评估、整改方案制订和实施、安全测评 等服务, 大力推动信息系统的安全整改,切实推动我省信息安全等 级保护工作深入开展。 信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1网络安全漏洞扫描系统。 2数据库安全扫描系统。 (二)木马检查工具。 1专用木马检查工具。 2进程查看与分析工具。 信息安

15、全等级保护测评工具选用指引 二、选用配置测试工具 (一)漏洞扫描探测工具 。 应用安全漏洞扫描工具。 (二)软件代码安全分析 类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试 工具 1网络性能压力测试工 具 2应用软件性能压力测 试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1接地电阻测试仪 2电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具 集 (十)等级保护测评管理 工具 广东东省成立等级级保护专护专 家委员员会 广东省成立信息安全等级保护专 家委员会 参与对我省重要单位和行业信息安全等级保 护定级和安全设计 、整改、测评 方案的审 查、论证 和指导。 广东东省等级级保护验护验 收测评测评 机构 关于发发布广东东省信息安全等级级保护测评护测评 机构的公告 (粤等保办办20103号) 供我省信息系统运营、使用单位、主管部门选用提供 各类测评 服务(差距评估、验收性测评、年度测评 工作)。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五 研究所) 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号