什么是信息系統安全等級保護測評,濟南企業如何辦理等保
一、基本工作
1、測評概念
信息系統安全等級保護測評(簡稱“等級測評”)是指測評機構依據國家網絡安全等級保護管理制度規定,按照有關管理規范和技術標準對涉及國家機密的信息系統安全保護狀況進行分等級測試評估的活動。等級測評機構,是指具備本規范的基本條件,經能力評估和審核,由省級以上網絡安全等級保護工作協調(領導)小組辦公室(以下簡稱為“等保辦”)推薦,從事等級測評工作的機構。
等級測評是合規性評判活動,基本依據不是個人或者測評機構的經驗,而是網絡安全等級保護的國家有關標準,無論是測評指標來源,還是測評方法的選擇、測評內容的確定以及結果判定等活動均應依據國家相關的標準進行,按照特定方法對信息系統的安全保護能力進行科學公正的綜合評判過程。
2、測評作用和目的
通過進行等級保護測評,能夠對信息系統安全防護體系能力的分析與確認;發現存在的安全隱患;幫助運營使用單位認識不足,及時改進;有效提升其網絡安全防護水平;遵循國家等級保護有關規定的要求,對信息系統安全建設進行符合性測評。測評的作用如下:
① 掌握信息系統的安全狀況、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求。
② 衡量信息系統的安全保護管理措施和技術措施是否符合等級保護基本要求,是否具備了相應的安全保護能力。
③ 等級測評結果,為 關等安全監管部門開展監督、檢查、指導等工作提供參照。
為了達到上述目的,開展等級測評的最好時期是安全建設整改前、安全建設整改后,及其常規性定期開展測評,如三級系統每年至少開展一次等級測評。
3、測評標準依據
《網絡安全等級保護管理辦法》第十四條規定:信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評;第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。
測評機構應當依據《信息系統安全等級保護管理辦法》、《網絡安全等級保護測評機構管理辦法》、《信息系統安全等級保護測評要求》、《信息系統安全等級保護測評過程指南》等國家標準進行等級測評,按照 統一制訂的《網絡安全等級保護測評報告模版》格式出具測評報告。按照行業標準規范開展安全建設整改的信息系統,可以國家標準為依據開展等級測評,也可以行業標準規范為依據開展等級測評。
等級測評依據的兩個主要標準分別是《GB/T28448—2012 信息系統安全等級保護測評要求》和《GB/T28449—2012 信息系統安全等級保護測評過程指南》。其中,《測評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據等,用來評定信息系統的安全保護措施是否符合《基本要求》。《測評過程指南》規定了開展等級測評工作的基本過程、流程、任務及工作產品等,規范測評機構的等級測評工作,并對在等級測評過程中何時如何使用《測評要求》提出了指導建議。二者共同指導等級測評工作。等級測評的測評對象是已經確定等級的信息系統。特定等級測評項目面對的被測評系統是由一個或多個不同安全保護等級的定級對象構成的信息系統。等級測評實施通常采用的測評方法是訪談、文檔審查、配置檢查、工具測試、實地查看。
4、測評工作規范
等級測評工作中,應遵循以下規范和原則。
① 標準性原則:測評工作的開展、方案的設計和具體實施均需依據我國等級保護的相關標準進行。
② 規范性原則:為用戶提供規范的服務,工作中的過程和文檔需具有良好的規范性,可以便于項目的跟蹤和控制。
③ 可控性原則:測評過程和所使用的工具具備可控性,測評項目采用的工具都經過多次測評項目考驗,或者是根據具體要求和組織的具體網絡特點定制的,具有良好的可控性。
④ 整體性原則:測評服務從組織的實際需求出發,從業務角度進行測評,而不是局限于網絡、主機等單個的安全層面,涉及安全管理和業務運營,保障整體性和全面性。
⑤ 最小影響原則:測評工作具備充分的計劃性,不對現有的運行和業務的正常提供產生顯著影響,盡可能小地影響系統和網絡的正常運行。
⑥ 保密性原則:從公司、人員、過程三方面進行保密控制——測評公司與甲方雙方簽署保密協議,不得利用測評中的任何數據進行其他有損甲方利益的活動;人員保密,公司內部簽訂保密協議;在測評過程中對測評數據嚴格保密。
⑦ 個性化原則:根據被測信息系統的實際業務需求、功能需求以及對應的安全建設情況,開展針對性較強的測評工作。
5、測評工作內容
等級測評內容覆蓋組織的重要信息資產,分為技術和管理兩大層面。技術層面主要是測評和分析在網絡和主機上存在的安全技術風險,包括物理環境、網絡設備、主機系統、數據庫、應用系統等軟硬件設備;管理層面包括從組織的人員、組織結構、管理制度、系統運行保障措施,以及其他運行管理規范等角度,分析業務運作和管理方面存在的安全缺陷。通過對以上各種安全威脅的分析和匯總,形成組織的安全測評報告,根據組織的安全測評報告和安全現狀,提出相應的安全整改建議,指導下一步的網絡安全建設。
