信息安全等級保護測評有哪些流程?
2023-08-26 08:57:00 來源:本站 瀏覽:838
依據《信息系統安全等級保護基本要求》(公通字[2007]43號)》“等級保護的實施與管理”中的第十四條:信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評單位,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第一級:用戶自主保護級,目前1.0版本不需要去備案(提交材料公安部也會給備案證明),等保2.0是需要備案的;第二級:系統審計保護級,二級信息系統為自主檢查或上級主管部門進行檢查,建議時間為每兩年檢查一次;第三級:安全標記保護級,三級信息系統應當每年至少進行一次等級測評;第四級:結構化保護級,四級信息系統應當每半年至少進行一次等級測評;第五級:訪問驗證保護級,五級信息系統應當依據特殊安全需求進行等級測評。運營單位確定要開展信息系統等級保護工作后,應按照以下步驟逐步推進工作:1、確定信息系統的個數、每個信息系統的等保級別、信息系統的資產數量(主機、網絡設備、安全設備等)、機房的模式(自建、云平臺、托管等)等。2、對每個目標系統,按照《信息系統定級指南》的要求和標準,分別進行等級保護的定級工作,填寫《系統定級報告》、《系統基礎信息調研表》(每個系統一套)。運營單位也可委托具備資質的等保測評機構協助填寫上述表格。3、對所定級的系統進行專家評審(二級系統也需要專家評審)。4、向屬地公安機關網監部門提交《系統定級報告》、《系統基礎信息調研表》和信息系統其它欣系統定級備案證明材料,獲取《信息系統等級保護定級備案證明》(每個系統一份),完成系統定級備案階段工作。5、依據確定的等級標準,選取等保測評機構,對目標系統開展等級保護測評工作(具體測評流程見第三條)。6、完成等級測評工作,獲得《信息系統等級保護測評報告》(每個系統一份)后,將《測評報告》提交網監部門進行備案。7、結合《測評報告》整體情況,針對報告提出的待整改項,制定本單位下一年度的“等級保護工作計劃”,并依照計劃推進下一階段的信息安全工作。差距測評階段又分為以下內容:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動,整改階段、驗收測評階段。首先,被測評單位在選定測評機構后,雙方需要先簽訂《測評服務合同》,合同中對項目范圍(系統數量)、項目內容(差距測評?驗收測評?協助整改?)、項目周期(什么時間進場?項目計劃做多長時間?)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內容逐一進行約定。簽訂《測評服務合同》同時,測評機構應簽署《保密協議》。《保密協議》一般分兩種,一種是測評機構與被測單位(公對公)簽署,約定測評機構在測評過程中的保密責任;一種是測評機構項目組成員與被測單位之間簽署。在雙方簽完委托測評合同之后,雙方即可約定召開項目啟動會時間。項目啟動會的目的,主要是由甲方領導對公司內部涉及的部門進行動員、提請各相關部門重視、協調內部資源、介紹測評方項目實施人員、計劃安排等內容,為整個等級測評項目的實施做基本準備。啟動會后,測評方開展調研,通過填寫《信息系統基本情況調查表》,掌握被測系統的詳細情況,為編制測評方案做好準備。測評準備活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分,直接關系到后續工作能否順利開展。一個二級系統的測評準備工作一般需要1天半,三級系統的準備工作一般需要2天左右完成。該階段的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評實施手冊,形成測評方案。方案編制活動為現場測評提供最基本的文檔依據和指導方案。一個二級系統的方案編制工作一般需要2天左右完成。現場測評活動是開展等級測評工作的核心活動,包括技術測評和管理測評。其中技術測評包括: 物理安全、網絡安全、主機安全、應用安全、數據安全和備份恢復。管理測評包括:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。現場差距測評一般包括訪談、文檔審查、配置檢查、工具測試和實地察看五個方面。此階段的輸出物為物理安全現場測評記錄、網絡安全現場測評記錄、主機安全現場測評記錄、應用安全現場測評記錄、數據安全和備份恢復現場測評記錄、安全管理制度現場測評記錄、安全管理機構現場測評記錄、人員安全管理現場測評記錄、系統建設管理現場測評記錄和系統運維管理現場測評記錄等。此階段主要任務是根據現場測評結果,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。一個二級系統的分析和報告編制工作一般需要3-4天左右完成。此階段工作不一定需要在客戶現場完成。《測評報告》的模板是由公安機關統一制定的。此階段的輸出物為《某系統等級測評報告》、《某系統整改建議》。主要根據測評機構出具的差距測評報告和整改建議進行整改,此階段主要由備案單位實施,測評機構協助,客戶可以根據自身的實際情況,把整改分為短期、中期、長期。綜上,一個二級系統完整的測評一次,在客戶方充分配合、測評方派3名測評師的情況下,大致需要四周左右。如果有多個系統同時測評,會存在部分重復工作,具體情況需要具體分析。2) 向測評機構介紹本單位的信息化建設狀況與發展情況;3) 準備測評機構需要的資料,比如系統定級報告、備案表、自查或上次測評報告、聯系方式等;6) 根據被測系統的具體情況,如業務運行高峰期、網絡布置情況等,為測評時間安排提供適宜的建議;1) 此階段工作測評方人員需要在客戶現場完成。需要被測方提供辦公位(基本的辦公環境)。2) 備案單位需要機房管理員、網絡管理員、安全主管、系統管理員、系統開發人員、運維人員等進行配合。3) 測評前備份系統和數據,并確認被測設備狀態完好;4) 協調被測系統內部相關人員的關系,配合測評工作的開展;5) 相關人員回答測評人員的問詢,對某些需要驗證的內容上機進行操作;6) 相關人員確認測試前協助測評人員實施工具測試并提供有效建議,降低安全測評對系統運行的影響;此階段與之前的差距測評階段類似,主要是針對整改的項目進行測評,從而檢驗整改的效果。備案單位簽收測評報告,并把測評報告向公安機關備案。在上述工作全部完成后,被測單位應將由等級測評機構蓋章的《測評報告》提交公安機關完成備案。
