没有合适的资源?快使用搜索试试~ 我知道了~
温馨提示
试读
1页
等保测评是指对信息系统进行安全评估,以确定其符合国家等级保护要求的程度。做等保测评有以下几个重要的意义: 提高信息系统安全性:等保测评可以发现信息系统中存在的安全漏洞和风险,帮助组织及时采取措施加强安全防护,从而提高信息系统的安全性。 合规要求:根据我国《网络安全法》和相关政策法规,特定行业和领域的信息系统需要进行等保测评来确保其满足国家等级保护要求。做等保测评可以帮助组织遵守法律法规,履行合规要求。 优化资源配置:等保测评可以帮助组织了解信息系统的安全状况,识别潜在的风险和威胁。通过评估结果,组织可以更好地分配资源,将有限的安全投入用于最需要的部分,提高资源利用效率。 增强信任与声誉:经过等保测评并取得合格等级后,组织可以向外界证明其信息系统具备一定的安全保障能力。 持续改进:等保测评是一个循环迭代的过程,通过多次评估可以不断发现问题、改进安全措施,并进行持续的系统优化。 综上所述,等保测评对于提高信息系统安全性、满足合规要求、优化资源配置、增强信任与声誉以及实现持续改进都具有重要的意义。
资源推荐
资源详情
资源评论
等保测评
1.背景
《定级指南》
为网络安全系统提供需要备案的资料
公司信息
主管部门信息
备案的环节需要向公安部提交行业主管部门定级
意见
企业顶级标准验证
专家判断来源于国测专家库
高级测评师一个测评机构至少有一个,是公安部
的标准;如果没有,那么这个测评机构就面临取
消资质
高级测评师越多,运营就越稳定
2.发展
意义
为维护国家安全和社会稳定,维护信息网络安全
逐渐体系化的过程
阶段
第一阶段
1994年2月18日《中华人民共和国计算机信息系
统安全保护条例》
第9条规定:计算机信息系统实行安全等级保护
1999年公安部GB17589-1999《计算机信息系统
安全保护等级划分标准》
作用:为等级保护制度奠定制度基础
2003年9月7日《国家信息化领导小组关于加强信
息安全保障工作的意见》
意义:抓紧建立信息安全等级保护制度,指定信
息安全等级保护制度的管理方法和技术指南
2004年9月15日《关于信息安全等级保护工作的
实施意见》
2007年6月22日《信息安全等级保护管理办法》 进一步明确对公民,法人的管理
第二阶段
2017年11月7日颁布《网络安全法》
2021年6月10日颁布《数据安全法》
3.案例
专家判断王某公司信息系统为2级,需要做什么? 2级2年做一次等保测评,3级1年一次层报测评
思考:王某的信息系统做定级、做测评,角色都
有什么?
1. 建设部门 负责
2. 上级主管部门 意见监督
4. 测评部门 完成测评
3. 公安部门 备案以及监督检查工作
5. 服务商 产品提供商
6. 使用单位 负责
作业:如果你们的单位跟服务商签合同,那么你们
需要注意哪些点
1. 费用、支付方式
2. 保密条款
3.违约责任
4.风险分担
5.知识产权
6.法律效应
7.安全隐患
王某公司需要准备做备案资料准备
开发者不需要
使用者需要
备案规则
2级以上
确定下来的30日之内
信息安全运营所在地区公安备案
某公司有定级,需要备案,那么他们必须在当地
备案吗
分情况而定
4.实施
原则
1. 自主保护原则
2. 同步建设原则
3. 重点保护原则(各等级)
4.适当调整原则
系统在运行过程中,会存在业务发声变化,导致
他的影响范围,重要程度发声一些变化,那么就
要做适时的调整,适当的调整相应的等级
5.《信息系统安全等级保护指南》
标准号:GB/T 22240-2008
5个阶段
定级阶段
安全规划阶段
设计和实施阶段
安全运行维护阶段
终止阶段
等级保护划分
标准号:GB/T 22240-2008
5个等级
第一级,信息系统受到破坏后,会对公民、法人
和其他组织的合法权益造成损害,但不损害国家
安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人
和其他组织的合法权益产生严重损害,或者对社
会秩序和公共利益造成损害,但不损害国家安
全。
第三级,信息系统受到破坏后,会对社会秩序和
公共利益造成严重损害,或者对国家安全造成损
害。
第四级,信息系统受到破坏后,会对社会秩序和
公共利益造成特别严重损害,或者对国家安全造
成严重损害。
第五级,信息系统受到破坏后,会对国家安全造
成特别严重损害。
要素
受侵害的个体
a) 公民、法人其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
对客体的侵害程度
a) 一般损害;
b) 严重损害;
c) 特别严重损害。
定级方法
1.确定作为定级的对象
2.确定业务信息安全受到破坏时所侵害的客体
3.根据不同的受侵害客体,从多个方面综合评定
业务信息安全被破坏对客体的侵害程度;
4. 业务信息安全保护等级;
5.确定系统服务安全受到破坏所侵害的客体;
6. 根据不同的受侵害客体,从多个方面综合评定
系统服务安全被破坏对客体的侵害程度;
7. 确定系统服务安全保护等级;
8.将业务信息安全保护等级和系统服务安全保护
等级的较高者确定为定级对象的安全保护等级。
6.准备资料
1.系统拓扑结构说明必须细节,每个图的标识和
解释
2.组织管理结构和管理制度 法人,总经理,CIO,领导,相关安全岗位的人
3.安全产品
IOS
IPS
防火墙
流量清洗
防毒墙
安全狗
数字防泄密
态势感知
天眼
秘网
4.测评后符合定级检测报告
5.定级的专家评审意见 专家个数必须是奇数
6.主管部门给出同意的定级意见 例如:银行
分行,管理支行
总行,最大
支行,柜员,取钱存钱
银行的主管部门 是央行
7.扩展
GB/T20269-2006 信息安全技术-信息系统安全管
理要求
GB/T20282-2006 信息安全技术 信息系统安全工
程管理要求
资源评论
爱吃大米饭'
- 粉丝: 748
- 资源: 4
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功