根据课上学习,全面总结等保测评的背景、发展、具体案例、实施、《信息系统安全等级保护指南》以及需要准备的材料
需积分: 0 164 浏览量
2023-11-01
08:50:28
上传
评论
收藏 176KB PDF 举报
等保测评
1.背景
《定级指南》
为网络安全系统提供需要备案的资料
公司信息
主管部门信息
备案的环节需要向公安部提交行业主管部门定级
意见
企业顶级标准验证
专家判断来源于国测专家库
高级测评师一个测评机构至少有一个,是公安部
的标准;如果没有,那么这个测评机构就面临取
消资质
高级测评师越多,运营就越稳定
2.发展
意义
为维护国家安全和社会稳定,维护信息网络安全
逐渐体系化的过程
阶段
第一阶段
1994年2月18日《中华人民共和国计算机信息系
统安全保护条例》
第9条规定:计算机信息系统实行安全等级保护
1999年公安部GB17589-1999《计算机信息系统
安全保护等级划分标准》
作用:为等级保护制度奠定制度基础
2003年9月7日《国家信息化领导小组关于加强信
息安全保障工作的意见》
意义:抓紧建立信息安全等级保护制度,指定信
息安全等级保护制度的管理方法和技术指南
2004年9月15日《关于信息安全等级保护工作的
实施意见》
2007年6月22日《信息安全等级保护管理办法》 进一步明确对公民,法人的管理
第二阶段
2017年11月7日颁布《网络安全法》
2021年6月10日颁布《数据安全法》
3.案例
专家判断王某公司信息系统为2级,需要做什么? 2级2年做一次等保测评,3级1年一次层报测评
思考:王某的信息系统做定级、做测评,角色都
有什么?
1. 建设部门 负责
2. 上级主管部门 意见监督
4. 测评部门 完成测评
3. 公安部门 备案以及监督检查工作
5. 服务商 产品提供商
6. 使用单位 负责
作业:如果你们的单位跟服务商签合同,那么你们
需要注意哪些点
1. 费用、支付方式
2. 保密条款
3.违约责任
4.风险分担
5.知识产权
6.法律效应
7.安全隐患
王某公司需要准备做备案资料准备
开发者不需要
使用者需要
备案规则
2级以上
确定下来的30日之内
信息安全运营所在地区公安备案
某公司有定级,需要备案,那么他们必须在当地
备案吗
分情况而定
4.实施
原则
1. 自主保护原则
2. 同步建设原则
3. 重点保护原则(各等级)
4.适当调整原则
系统在运行过程中,会存在业务发声变化,导致
他的影响范围,重要程度发声一些变化,那么就
要做适时的调整,适当的调整相应的等级
5.《信息系统安全等级保护指南》
标准号:GB/T 22240-2008
5个阶段
定级阶段
安全规划阶段
设计和实施阶段
安全运行维护阶段
终止阶段
等级保护划分
标准号:GB/T 22240-2008
5个等级
第一级,信息系统受到破坏后,会对公民、法人
和其他组织的合法权益造成损害,但不损害国家
安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人
和其他组织的合法权益产生严重损害,或者对社
会秩序和公共利益造成损害,但不损害国家安
全。
第三级,信息系统受到破坏后,会对社会秩序和
公共利益造成严重损害,或者对国家安全造成损
害。
第四级,信息系统受到破坏后,会对社会秩序和
公共利益造成特别严重损害,或者对国家安全造
成严重损害。
第五级,信息系统受到破坏后,会对国家安全造
成特别严重损害。
要素
受侵害的个体
a) 公民、法人其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
对客体的侵害程度
a) 一般损害;
b) 严重损害;
c) 特别严重损害。
定级方法
1.确定作为定级的对象
2.确定业务信息安全受到破坏时所侵害的客体
3.根据不同的受侵害客体,从多个方面综合评定
业务信息安全被破坏对客体的侵害程度;
4. 业务信息安全保护等级;
5.确定系统服务安全受到破坏所侵害的客体;
6. 根据不同的受侵害客体,从多个方面综合评定
系统服务安全被破坏对客体的侵害程度;
7. 确定系统服务安全保护等级;
8.将业务信息安全保护等级和系统服务安全保护
等级的较高者确定为定级对象的安全保护等级。
6.准备资料
1.系统拓扑结构说明必须细节,每个图的标识和
解释
2.组织管理结构和管理制度 法人,总经理,CIO,领导,相关安全岗位的人
3.安全产品
IOS
IPS
防火墙
流量清洗
防毒墙
安全狗
数字防泄密
态势感知
天眼
秘网
4.测评后符合定级检测报告
5.定级的专家评审意见 专家个数必须是奇数
6.主管部门给出同意的定级意见 例如:银行
分行,管理支行
总行,最大
支行,柜员,取钱存钱
银行的主管部门 是央行
7.扩展
GB/T20269-2006 信息安全技术-信息系统安全管
理要求
GB/T20282-2006 信息安全技术 信息系统安全工
程管理要求
资源评论
