等保測評
信息安全等級保護(hù)已經(jīng)成為全國各行業(yè)進(jìn)行信息安全建設(shè)的重點(diǎn)內(nèi)容,而信息安全風(fēng)險(xiǎn)評估正是進(jìn)行信息安全等級保護(hù)工作的切入點(diǎn)。如何進(jìn)行信息安全風(fēng)險(xiǎn)評估,如何通過風(fēng)險(xiǎn)評估為信息安全等級保護(hù)建設(shè)提供必要的輸
信息安全等級保護(hù)已經(jīng)成為全國各行業(yè)進(jìn)行信息安全建設(shè)的重點(diǎn)內(nèi)容,而信息安全風(fēng)險(xiǎn)評估正是進(jìn)行信息安全等級保護(hù)工作的切入點(diǎn)。如何進(jìn)行信息安全風(fēng)險(xiǎn)評估,如何通過風(fēng)險(xiǎn)評估為信息安全等級保護(hù)建設(shè)提供必要的輸入數(shù)據(jù)已經(jīng)成為風(fēng)險(xiǎn)評估所需要解決的重點(diǎn)問題。
信息安全等級保護(hù)測評工作要求:
1、依據(jù)標(biāo)準(zhǔn),遵循原則
等級測評實(shí)施應(yīng)依據(jù)等級保護(hù)的相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行。相關(guān)技術(shù)標(biāo)準(zhǔn)主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等級測評目標(biāo)和內(nèi)容應(yīng)依據(jù)GB/T 22239-2008,對具體測評項(xiàng)的測評實(shí)施方法則依據(jù)GB/T DDDD-DDDD。 在等級測評實(shí)施活動中,應(yīng)遵循GB/T DDDD-DDDD中規(guī)定的測評原則,保證測評工作公正、科學(xué)、合理和完善。
2、恰當(dāng)選取,保證強(qiáng)度
恰當(dāng)選取是指對具體測評對象的選擇要恰當(dāng),既要避免重要的對象、可能存在安全隱患的對象沒有被選擇,也要避免過多選擇,使得工作量增大。保證強(qiáng)度是指對被測系統(tǒng)應(yīng)實(shí)施與其等級相適應(yīng)的測評強(qiáng)度。
3、規(guī)范行為,規(guī)避風(fēng)險(xiǎn)
測評機(jī)構(gòu)實(shí)施等級測評的過程應(yīng)規(guī)范,包括:制定內(nèi)部保密制度;制定過程控制制度;規(guī)定相關(guān)文檔評審流程;指定專人負(fù)責(zé)保管等級測評的歸檔文件等。測評人員的行為應(yīng)規(guī)范,包括:測評人員進(jìn)入現(xiàn)場佩戴工作牌;使用測評專用的電腦和工具;嚴(yán)格按照測評指導(dǎo)書使用規(guī)范的測評技術(shù)進(jìn)行測評;準(zhǔn)確記錄測評證據(jù);不擅自評價(jià)測評結(jié)果;不將測評結(jié)果復(fù)制給非測評人員等。規(guī)避風(fēng)險(xiǎn),是指要充分估計(jì)測評可能給被測系統(tǒng)帶來的影響,向被測系統(tǒng)運(yùn)營/使用單位揭示風(fēng)險(xiǎn),要求其提前采取預(yù)防措施進(jìn)行規(guī)避。同時(shí),測評機(jī)構(gòu)也應(yīng)采取與測評委托單位簽署委托測評協(xié)議、保密協(xié)議、現(xiàn)場測評授權(quán)書、要求測評委托單位進(jìn)行系統(tǒng)備份、規(guī)范測評活動、及時(shí)與測評委托單位溝通等措施規(guī)避風(fēng)險(xiǎn),盡量避免給被測系統(tǒng)和單位帶來影響。
評估準(zhǔn)備階段
評估準(zhǔn)備階段是開展等級測評工作的前提和基礎(chǔ),是整個(gè)等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。評估準(zhǔn)備階段主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況,準(zhǔn)備測試工具,為編制測評方案做好準(zhǔn)備。方案編制階段
方案編制活動包括測評對象確定、測評指標(biāo)確定、測試工具接入點(diǎn)確定、測評內(nèi)容確定、測評指導(dǎo)書測評指導(dǎo)書開發(fā)及測評方案編制六項(xiàng)主要任務(wù)。現(xiàn)場評估階段
現(xiàn)場評估階段主要是通過與客戶進(jìn)行溝通和協(xié)調(diào),為現(xiàn)場測評的順利開展打下良好基礎(chǔ),然后依據(jù)測評方案實(shí)施現(xiàn)場測評工作,將測評方案和測評工具等具體落實(shí)到現(xiàn)場測評活動中。現(xiàn)場測評工作應(yīng)取得分析與報(bào)告編制活動所需的、足夠的證據(jù)和資料。
現(xiàn)場評估活動,分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。分析與報(bào)告編制階段
在現(xiàn)場測評工作結(jié)束后,測評機(jī)構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果(或稱測評證據(jù))進(jìn)行匯總分析,形成等級測評結(jié)論,并編制測評報(bào)告。
測評人員在初步判定單元測評結(jié)果后,還需進(jìn)行整體測評,經(jīng)過整體測評后,有的單元測評結(jié)果可能會有所變化,需進(jìn)一步修訂單元測評結(jié)果,而后進(jìn)行風(fēng)險(xiǎn)分析和評價(jià),形成等級測評結(jié)論。分析與報(bào)告編制活動包括單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險(xiǎn)分析、等級測評結(jié)論形成及測評報(bào)告編制六項(xiàng)主要任務(wù)。
信息安全等級保護(hù)測評工作要求:
1、依據(jù)標(biāo)準(zhǔn),遵循原則
等級測評實(shí)施應(yīng)依據(jù)等級保護(hù)的相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行。相關(guān)技術(shù)標(biāo)準(zhǔn)主要包括GB/T 22239-2008和GB/T DDDD-DDDD,其中等級測評目標(biāo)和內(nèi)容應(yīng)依據(jù)GB/T 22239-2008,對具體測評項(xiàng)的測評實(shí)施方法則依據(jù)GB/T DDDD-DDDD。 在等級測評實(shí)施活動中,應(yīng)遵循GB/T DDDD-DDDD中規(guī)定的測評原則,保證測評工作公正、科學(xué)、合理和完善。
2、恰當(dāng)選取,保證強(qiáng)度
恰當(dāng)選取是指對具體測評對象的選擇要恰當(dāng),既要避免重要的對象、可能存在安全隱患的對象沒有被選擇,也要避免過多選擇,使得工作量增大。保證強(qiáng)度是指對被測系統(tǒng)應(yīng)實(shí)施與其等級相適應(yīng)的測評強(qiáng)度。
3、規(guī)范行為,規(guī)避風(fēng)險(xiǎn)
測評機(jī)構(gòu)實(shí)施等級測評的過程應(yīng)規(guī)范,包括:制定內(nèi)部保密制度;制定過程控制制度;規(guī)定相關(guān)文檔評審流程;指定專人負(fù)責(zé)保管等級測評的歸檔文件等。測評人員的行為應(yīng)規(guī)范,包括:測評人員進(jìn)入現(xiàn)場佩戴工作牌;使用測評專用的電腦和工具;嚴(yán)格按照測評指導(dǎo)書使用規(guī)范的測評技術(shù)進(jìn)行測評;準(zhǔn)確記錄測評證據(jù);不擅自評價(jià)測評結(jié)果;不將測評結(jié)果復(fù)制給非測評人員等。規(guī)避風(fēng)險(xiǎn),是指要充分估計(jì)測評可能給被測系統(tǒng)帶來的影響,向被測系統(tǒng)運(yùn)營/使用單位揭示風(fēng)險(xiǎn),要求其提前采取預(yù)防措施進(jìn)行規(guī)避。同時(shí),測評機(jī)構(gòu)也應(yīng)采取與測評委托單位簽署委托測評協(xié)議、保密協(xié)議、現(xiàn)場測評授權(quán)書、要求測評委托單位進(jìn)行系統(tǒng)備份、規(guī)范測評活動、及時(shí)與測評委托單位溝通等措施規(guī)避風(fēng)險(xiǎn),盡量避免給被測系統(tǒng)和單位帶來影響。
評估準(zhǔn)備階段
評估準(zhǔn)備階段是開展等級測評工作的前提和基礎(chǔ),是整個(gè)等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。評估準(zhǔn)備階段主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況,準(zhǔn)備測試工具,為編制測評方案做好準(zhǔn)備。方案編制階段
方案編制活動包括測評對象確定、測評指標(biāo)確定、測試工具接入點(diǎn)確定、測評內(nèi)容確定、測評指導(dǎo)書測評指導(dǎo)書開發(fā)及測評方案編制六項(xiàng)主要任務(wù)。現(xiàn)場評估階段
現(xiàn)場評估階段主要是通過與客戶進(jìn)行溝通和協(xié)調(diào),為現(xiàn)場測評的順利開展打下良好基礎(chǔ),然后依據(jù)測評方案實(shí)施現(xiàn)場測評工作,將測評方案和測評工具等具體落實(shí)到現(xiàn)場測評活動中。現(xiàn)場測評工作應(yīng)取得分析與報(bào)告編制活動所需的、足夠的證據(jù)和資料。
現(xiàn)場評估活動,分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。分析與報(bào)告編制階段
在現(xiàn)場測評工作結(jié)束后,測評機(jī)構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果(或稱測評證據(jù))進(jìn)行匯總分析,形成等級測評結(jié)論,并編制測評報(bào)告。
測評人員在初步判定單元測評結(jié)果后,還需進(jìn)行整體測評,經(jīng)過整體測評后,有的單元測評結(jié)果可能會有所變化,需進(jìn)一步修訂單元測評結(jié)果,而后進(jìn)行風(fēng)險(xiǎn)分析和評價(jià),形成等級測評結(jié)論。分析與報(bào)告編制活動包括單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險(xiǎn)分析、等級測評結(jié)論形成及測評報(bào)告編制六項(xiàng)主要任務(wù)。
責(zé)任編輯:黎陽錦
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
