• 等级保护咨询及评估
    等级保护咨询及评估
    安全服务
    等级保护咨询及评估
首页 > 安全服务 > 等级保护咨询及评估...
服务概述

信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按特定方法对信息系统安全防护能力进行科学公正的综合评判过程。

政策依据

《中华人民共和国计算机信息系统安全保护条例》([1994]国务院令第147号)

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护备案实施细则》(公信安[2007]1360号)

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)

《信息安全等级保护管理办法》(公通字[2007]43号)

《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号

技术标准

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T 20984-2007《信息安全技术 信息安全风险评估规范》

GB 17859-1999《计算机信息系统安全保护等级划分标准》

GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》

GB/T 36627-2018《信息安全技术 网络安全等级保护测评评估技术指南》

测评过程

等级测评过程分为四个测评阶段:

测评准备、方案编制、现场测评及分析和报告编制测评双方之间的沟通与洽谈贯穿整个等级测评过程


  • 测评准备
    本阶段是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本阶段的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。
  • 方案编制
    本阶段是开展等级测评工作的关键,为现场测评提供最基本的文档和指导方案。本阶段的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。
  • 现场测评
    本阶段是开展等级测评工作的核心活动。主要任务是依据测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
  • 分析与报告编制
    本阶段是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本阶段的主要任务是根据现场测评结果和GB/T 22239-2019的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。

测评方法

测评方法一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面


  • 访谈
    测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
  • 文档审查
    1)检查GB/T 22239-2019中规定的必须具有的制度、策略、操作规程等文档是否齐备。
    2)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
    3)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。
  • 配置检查
    1)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。
    2)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。
    3)针对网络连接,应对连接规则进行验证。
  • 工具测试
    1)根据测评方案,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。
    2)备份测试结果。
  • 实地察看
    1)根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。

×
隐私条款
×

此处放标题

内容暂无















免费咨询热线:400-880-5062
电话:86-21-51905999
传真:86-21-51905959
邮编:201203
地址:上海市浦东新区张江高科技园区郭守敬路498号20号楼
我同意