当前位置: 首页 > news >正文

信息系统定级与等级测评的具体过程

news 来源:原创 2024/5/21 0:58:07

目录

信息系统安全定级流程图

信息系统定级的注意事项

补充内容

信息系统安全等级测评流程图 

 测评准备阶段

 测评机构职责

被测单位职责

 方案编制阶段

测评机构职责

被测单位职责

现场测评阶段 

测评机构的职责

被测单位职责

分析与报告编制阶段

测评机构职责

被测单位职责

风险控制

信息系统安全定级流程图

信息系统定级的注意事项

1、定级对象取最高值(S1 A1 G2最终取二级,A2 A2 G3最终取三级

2、信息系统定级一般是根据《信息系统安全保护等级定级指南》(GB/T 22240-2020)自主定级

补充内容

等保测评中,S2 A2 G3 是指《信息系统等级保护基本要求》里定义的要求项,其中:
1. S 是信息安全类要求,A 是服务保证类要求,G 是通用安全保护类。
2. 后面的数字代表等级,S3 的意思也就是信息安全类3级要求,以此类推。

信息系统安全等级测评流程图 

 测评准备阶段

任务输出文档文档内容
收集和分析被测系统基本情况分析报告说明被测系统的范围、安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色
工具和表单准备选用的测评工具清单、打印的各类表单:现场测评授权书、文档交接单现场测评授权、交接的文档名称

 测评机构职责

  1. 向被测单位介绍安全测评的意义和作用、测评流程和工作方法
  2. 了解被测单位的信息化建设状况与发展
  3. 指出被测单位应提供的基本资料
  4. 向被测单位说明测评工作自身的风险和规避方法
  5. 准备被测系统基本情况调查表单
  6. 了解被测系统基本情况
  7. 初步分析系统的安全情况
  8. 准备测评工具和文档

被测单位职责

  1. 向测评机构介绍本单位的信心话建设状况与发展情况
  2. 准备测评机构需要的资料
  3. 为测评人员的信息收集提供支持的协调
  4. 根据被测系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供建议
  5. 备份数据、系统,指定应急预案

 方案编制阶段

任务输出文档文档内容
测评对象确认测评方案的测评对象部分被测系统的整体结构、边界、网络区域、重要结点、测评对象等
测评指标确定测评方案的测评标准指标部分被测系统定级结果、测评指标
测评工具 接入点确定测评方案的测试工具接入点部分测试工具接入点及测试方法
测评内容确定测评方案的单项测评实施和系统测评实施部分单项测评实施内容及系统测评实施内容
测评方案编制测评方案文本项目概述、测评对象、测评标准、测试工具接入点、单项测评实施和系统测评实施内容等

测评机构职责

  1. 详细分析被测系统的整体结构、边界、网络区域、重要结点等
  2. 初步判断被测系统的安全薄弱点
  3. 分析确定测评对象、测评指标和测试工具接入点,确定测评内容和方法
  4. 编址测评方案文本,并对其内部评审
  5. 取得被测机构对测评方案所有内容的签字确认

被测单位职责

  1. 对测评方案进行认可,并签字确认

现场测评阶段 

任务输出文档文档内容
现场测评准备会议记录、确认的授权委托书、更新后的测评计划和测评程序工作计划和内容安排,双反人员的协调,被测单位应提供的配合
访谈技术安全和管理安全测评的测评结果记录或录音访谈结果
文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的符合情况
配置检查技术安全测评的网络、主机、应用测评结果记录表格检查内容的结果
工具测试技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件漏洞扫描、渗透测试、性能测试、入侵检擦和协议分析等内容的技术测试结果
实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的结果
测评结果确认线程核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件测评活动中发现的问题、问题的证据和证据源、每项检查活动中被测单位配合人员的书面认可

测评机构的职责

  1. 利用访谈、文档审查、配置检查、工具测试和实地查看的方法测评被测系统的保护措施与等级保护响应等级要求的符合情况,以及正确性和有效性

被测单位职责

  1. 协调被测系统内部相关人员的关系,配合测评工作的开展
  2. 相关人员回答测评人员的问询,对某系需要验证的内容上机进行操作
  3. 相关人员协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响
  4. 相关人员协助测评人员完成业务相关内容的问询、验证和测试
  5. 相关人员对测评结果进行确认

分析与报告编制阶段

测评机构职责

  1. 分析单向测评结果和系统整体测评结果,形成等级测评结论
  2. 编址等级测评报告
  3. 评审等级测评报告

被测单位职责

  1. 签收测评报告

风险控制

1、配置检查和实地查看影响系统正常运行

2、工具测试影响系统正常运行

3、敏感信息泄露

~over~ 

相关文章:

  • 测试C#使用AForge从摄像头获取图片
  • 轮廓平滑方法
  • 怎么使用5118站长工具API接口处理采集数据
  • 设计模式之-命令模式,快速掌握命令模式,通俗易懂的讲解命令模式以及它的使用场景
  • 每次maven刷新jdk都要重新设置
  • 2023年12月【考试战报】|ORACLE OCP 19C考试通过
  • 关于测试技能和职业规划,ChatGPT这样说
  • Vue3组合式-依赖注入provideinject
  • 前端 JS 安全对抗原理与实践
  • 全方位掌握卷积神经网络:理解原理 优化实践应用
  • 使用 ElementUI 组件构建无边框 Window 桌面应用(WinForm/WPF)
  • (1)(1.11) SiK Radio v2(一)
  • Spring Cloud Feign作为HTTP客户端调用远程HTTP服务
  • 除法计算器 C语言xdoj48
  • 电脑完全重装教程——原版系统镜像安装
  • 【跃迁之路】【519天】程序员高效学习方法论探索系列(实验阶段276-2018.07.09)...
  • 03Go 类型总结
  • Android组件 - 收藏集 - 掘金
  • CAP 一致性协议及应用解析
  • es6要点
  • Java 9 被无情抛弃,Java 8 直接升级到 Java 10!!
  • JavaScript 一些 DOM 的知识点
  • Javascript编码规范
  • Median of Two Sorted Arrays
  • php中curl和soap方式请求服务超时问题
  • SpiderData 2019年2月23日 DApp数据排行榜
  • spring boot下thymeleaf全局静态变量配置
  • 浮动相关
  • 关于for循环的简单归纳
  • 基于组件的设计工作流与界面抽象
  • 排序(1):冒泡排序
  • 设计模式(12)迭代器模式(讲解+应用)
  • 腾讯优测优分享 | Android碎片化问题小结——关于闪光灯的那些事儿
  • ​html.parser --- 简单的 HTML 和 XHTML 解析器​
  • ​LeetCode解法汇总2696. 删除子串后的字符串最小长度
  • #{} 和 ${}区别
  • (Matlab)使用竞争神经网络实现数据聚类
  • (搬运以学习)flask 上下文的实现
  • (笔试题)合法字符串
  • (二)构建dubbo分布式平台-平台功能导图
  • (二)丶RabbitMQ的六大核心
  • (十)DDRC架构组成、效率Efficiency及功能实现
  • (四) Graphivz 颜色选择
  • (转)LINQ之路
  • .bat批处理(八):各种形式的变量%0、%i、%%i、var、%var%、!var!的含义和区别
  • .NET CF命令行调试器MDbg入门(一)
  • .NET Core、DNX、DNU、DNVM、MVC6学习资料
  • .net 调用php,php 调用.net com组件 --
  • .NET(C#、VB)APP开发——Smobiler平台控件介绍:Bluetooth组件
  • .NET建议使用的大小写命名原则
  • .NET开源项目介绍及资源推荐:数据持久层 (微软MVP写作)
  • @JsonSerialize注解的使用
  • [ solr入门 ] - 利用solrJ进行检索
  • [ vulhub漏洞复现篇 ] JBOSS AS 5.x/6.x反序列化远程代码执行漏洞CVE-2017-12149
  • []error LNK2001: unresolved external symbol _m