信息安全等级保护测评

商品介绍

1、测评目的
       通过对单位被测系统物理环境、网络设备、服务器群以及应用软件系统实施等级保护测评，明确该系统的安全建设现状，找出存在的安全风险，分析安全建设差距，提出安全整改建议，并以此为基础，进一步制定安全建设整改方案，完善保护措施，使该系统满足我国关于等级保护相应级别的具体要求，增加信息系统安全的规范性和有效性，提高单位的安全意识，增强网络的抗攻击的能力，保证被测系统正常运转。
2、参照标准
测评机构应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

《计算机信息系统安全保护等级划分准则》（GB17859-1999）
《信息系统安全保护等级定级指南》（GB/T 22240-2008）
《信息系统安全等级保护实施指南》（GB/T 25058-2010 ）
《信息系统安全等级保护基本要求》（GB/T 22239-2008）
《信息系统安全等级保护测评要求》（GB/T 28448-2012）
《信息系统安全等级保护测评过程指南》（GB/T 28449-2012）
《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）
《计算机信息系统安全等级保护通用技术要求》（GAT 390-2002）
《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）
《信息系统安全工程管理要求》（GB/T20282-2006）
《信息系统等级保护安全设计技术要求》（GB/T 25070-2010 ）
《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）
3、等级测评过程
       等级保护分为六个可操作性步骤：定级、备案、初次测评、建设整改、二次测评、监督检查，具体工作过程中可能存在交叉现象，以下为具体的工作步骤和工作内容。

3.1信息系统定级
        首先梳理单位的现有系统，确定各系统的服务对象、系统边界、设备设施组成情况，根据系统遭受破坏后的影响范围和损害程度，按照《信息安全等级保护备案实施细则》（公信安[2007]1360 号）文件要求，完成各系统的定级工作，定级遵循“自主定级、专家评审、主管部门审批、公安机关审核”的原则，首先自己确定系统的数量和等级，对于不太确定的系统级别，可聘请河北省等级保护专家小组人员进行专家评审，如果单位有主管部门，确定级别后报上级主管单位批准，最终的定级情况上报公安机关进行审核和备案。

3.2备案
       对于第二级以上信息系统，需要填写《定级报告》和《备案材料》，并将材料在等级确定后 30 日内，由其运营、使用单位到单位所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后 30 日内， 由其运营、使用单位到单位所在地设区的市级以上公安机关办理备案手续。

3.3初次测评
        信息系统建设完成后，运营、使用单位或者其主管部门应选择符合相应法规规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。
        对被测系统，参照《信息系统安全等级保护基本要求》（GB/T 22239-2008） 从物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等层面进行差距分析，依据《信息系统等级保护安全设计技术要求》（GB/T 25070-2010 ），对系统进行初次安全评估。通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。测评内容：物理环境测评：包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。网络系统测评：包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。主机与数据库测评：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等内容。应用系统测评：包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。数据及备份恢复测评：包括数据完整性、数据保密性、备份和恢复等内容。安全管理测评：涵盖管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面。

3.4建设整改
      单位按照《信息安全等级保护管理办法》（公通字[2007]43 号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429 号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建议安全技术设施， 落实安全技术措施。通过安全建设整改，确保信息系统通过相应级别的安全测评。

3.5二次测评
      此阶段是等级测评完整实施阶段，通过对整改后的系统进行分析和梳理，再次实施等级测评，记录访谈检查结果，进行综合分析，梳理安全风险，提出安全整改建议，测评结束后，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487）编写等级测评报告。取得《信息系统信息安全等级保护备案证明》和加盖测评专用章的最终测评报告。