互聯(lián)網(wǎng)信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)
等級(jí)保護(hù)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。等級(jí)保護(hù)測(cè)評(píng)是標(biāo)準(zhǔn)符合性評(píng)判活動(dòng),即依據(jù)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn),按照特定方法對(duì)信息系統(tǒng)的安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過(guò)程。
而網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn),能夠指導(dǎo)企業(yè)和測(cè)評(píng)機(jī)構(gòu)按要求開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作,能幫助企業(yè)降低信息系統(tǒng)風(fēng)險(xiǎn),提高信息系統(tǒng)的安全防護(hù)能力。
就等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)/依據(jù)而言,包括:
1.《網(wǎng)絡(luò)安全法》
2.《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
3.《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
4.《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
5.《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》
6.《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》
7.《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
8.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
其中,企業(yè)可重點(diǎn)關(guān)注 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》,因?yàn)樵摌?biāo)準(zhǔn)與等級(jí)保護(hù)基本要求保持一致,主要明確了測(cè)評(píng)對(duì)象、測(cè)評(píng)判定規(guī)則等內(nèi)容。該標(biāo)準(zhǔn)為安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的主管部門及運(yùn)營(yíng)使用單位對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測(cè)評(píng)提供指南。信息安全監(jiān)管職能部門進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查時(shí)也是參考使用這份標(biāo)準(zhǔn)。
企業(yè)在備案通過(guò)之后,就需要按照要求進(jìn)行測(cè)評(píng)工作。安徽靈狐科技為各企業(yè)提供信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)解讀:
一、測(cè)評(píng)流程
總的來(lái)說(shuō),測(cè)評(píng)機(jī)構(gòu)進(jìn)行的等級(jí)測(cè)評(píng)分為三個(gè)階段:方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段、分析與報(bào)告編制階段。而對(duì)企業(yè)來(lái)說(shuō),其進(jìn)行測(cè)評(píng)的流程應(yīng)該是這樣的:
①企業(yè)先到公安機(jī)關(guān)成功備案,并且申請(qǐng)做等級(jí)保護(hù)測(cè)評(píng);
②企業(yè)找到合適的測(cè)評(píng)機(jī)構(gòu),對(duì)企業(yè)信息系統(tǒng)進(jìn)行測(cè)評(píng);
③企業(yè)根據(jù)測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)結(jié)束后給出的整改清單,把信息系統(tǒng)中不符合等保要求的項(xiàng)目變?yōu)榉?,提高信息系統(tǒng)安全防護(hù)能力;
④整改結(jié)束后,測(cè)評(píng)機(jī)構(gòu)重新對(duì)企業(yè)進(jìn)行一次測(cè)評(píng),如果測(cè)評(píng)通過(guò),企業(yè)把測(cè)評(píng)報(bào)告和整改報(bào)告提交公安機(jī)關(guān),就可以等待拿證;
⑤公安機(jī)關(guān)每年對(duì)企業(yè)等級(jí)保護(hù)落實(shí)情況進(jìn)行監(jiān)督檢查,企業(yè)根據(jù)公安機(jī)關(guān)檢查結(jié)果,查缺補(bǔ)漏。
二、測(cè)評(píng)內(nèi)容
根據(jù)規(guī)定,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的測(cè)試應(yīng)包括兩個(gè)方面的內(nèi)容:一是安全控制測(cè)評(píng),主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測(cè)評(píng),主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中,安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。
安全控制測(cè)評(píng)的測(cè)評(píng)單元又分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。
①安全技術(shù)測(cè)評(píng):包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)?安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測(cè)評(píng)。
②安全管理測(cè)評(píng):包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)。
三、測(cè)評(píng)通過(guò)標(biāo)準(zhǔn)
等保2.0時(shí)代,測(cè)評(píng)結(jié)論改為“優(yōu)、良、中、差”。和等保1.0相比,等保2.0時(shí)代的要求更為嚴(yán)格,等級(jí)保護(hù)及格線已經(jīng)由原先的60分提高到了70分。
其中測(cè)評(píng)結(jié)論“差”的判別依據(jù)是被測(cè)對(duì)象中存在安全問(wèn)題,而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn),或被測(cè)對(duì)象綜合得分低于70分。簡(jiǎn)單點(diǎn)來(lái)說(shuō),“差”是指系統(tǒng)中存在高危風(fēng)險(xiǎn)或得分低于70分,相當(dāng)于等保1.0時(shí)代中的不符合。
而網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn),能夠指導(dǎo)企業(yè)和測(cè)評(píng)機(jī)構(gòu)按要求開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作,能幫助企業(yè)降低信息系統(tǒng)風(fēng)險(xiǎn),提高信息系統(tǒng)的安全防護(hù)能力。
就等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)/依據(jù)而言,包括:
1.《網(wǎng)絡(luò)安全法》
2.《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
3.《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
4.《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
5.《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》
6.《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》
7.《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
8.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
其中,企業(yè)可重點(diǎn)關(guān)注 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》,因?yàn)樵摌?biāo)準(zhǔn)與等級(jí)保護(hù)基本要求保持一致,主要明確了測(cè)評(píng)對(duì)象、測(cè)評(píng)判定規(guī)則等內(nèi)容。該標(biāo)準(zhǔn)為安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的主管部門及運(yùn)營(yíng)使用單位對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測(cè)評(píng)提供指南。信息安全監(jiān)管職能部門進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查時(shí)也是參考使用這份標(biāo)準(zhǔn)。
企業(yè)在備案通過(guò)之后,就需要按照要求進(jìn)行測(cè)評(píng)工作。安徽靈狐科技為各企業(yè)提供信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)解讀:
一、測(cè)評(píng)流程
總的來(lái)說(shuō),測(cè)評(píng)機(jī)構(gòu)進(jìn)行的等級(jí)測(cè)評(píng)分為三個(gè)階段:方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段、分析與報(bào)告編制階段。而對(duì)企業(yè)來(lái)說(shuō),其進(jìn)行測(cè)評(píng)的流程應(yīng)該是這樣的:
①企業(yè)先到公安機(jī)關(guān)成功備案,并且申請(qǐng)做等級(jí)保護(hù)測(cè)評(píng);
②企業(yè)找到合適的測(cè)評(píng)機(jī)構(gòu),對(duì)企業(yè)信息系統(tǒng)進(jìn)行測(cè)評(píng);
③企業(yè)根據(jù)測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)結(jié)束后給出的整改清單,把信息系統(tǒng)中不符合等保要求的項(xiàng)目變?yōu)榉?,提高信息系統(tǒng)安全防護(hù)能力;
④整改結(jié)束后,測(cè)評(píng)機(jī)構(gòu)重新對(duì)企業(yè)進(jìn)行一次測(cè)評(píng),如果測(cè)評(píng)通過(guò),企業(yè)把測(cè)評(píng)報(bào)告和整改報(bào)告提交公安機(jī)關(guān),就可以等待拿證;
⑤公安機(jī)關(guān)每年對(duì)企業(yè)等級(jí)保護(hù)落實(shí)情況進(jìn)行監(jiān)督檢查,企業(yè)根據(jù)公安機(jī)關(guān)檢查結(jié)果,查缺補(bǔ)漏。
二、測(cè)評(píng)內(nèi)容
根據(jù)規(guī)定,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的測(cè)試應(yīng)包括兩個(gè)方面的內(nèi)容:一是安全控制測(cè)評(píng),主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測(cè)評(píng),主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中,安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。
安全控制測(cè)評(píng)的測(cè)評(píng)單元又分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。
①安全技術(shù)測(cè)評(píng):包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)?安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測(cè)評(píng)。
②安全管理測(cè)評(píng):包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)。
三、測(cè)評(píng)通過(guò)標(biāo)準(zhǔn)
等保2.0時(shí)代,測(cè)評(píng)結(jié)論改為“優(yōu)、良、中、差”。和等保1.0相比,等保2.0時(shí)代的要求更為嚴(yán)格,等級(jí)保護(hù)及格線已經(jīng)由原先的60分提高到了70分。
其中測(cè)評(píng)結(jié)論“差”的判別依據(jù)是被測(cè)對(duì)象中存在安全問(wèn)題,而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn),或被測(cè)對(duì)象綜合得分低于70分。簡(jiǎn)單點(diǎn)來(lái)說(shuō),“差”是指系統(tǒng)中存在高危風(fēng)險(xiǎn)或得分低于70分,相當(dāng)于等保1.0時(shí)代中的不符合。
測(cè)評(píng)結(jié)論 | 判別依據(jù) |
優(yōu) | 被測(cè)對(duì)象中存在安全問(wèn)題,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨中、高等級(jí)安全風(fēng)險(xiǎn)(即無(wú)高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)項(xiàng)),且系統(tǒng)綜合得分90分以上(含90分)。 |
良 | 被測(cè)對(duì)象中存在安全問(wèn)題,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)(即無(wú)高風(fēng)險(xiǎn)項(xiàng)),且系統(tǒng)綜合得分80分以上(含80分)。 |
中 | 被測(cè)對(duì)象中存在安全問(wèn)題,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)(即無(wú)高風(fēng)險(xiǎn)項(xiàng)),且系統(tǒng)綜合得分70分以上(含70分)。 |
差 | 被測(cè)對(duì)象中存在安全問(wèn)題,而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn),或被測(cè)對(duì)象綜合得分低于70分。 |