文章目录
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
从本节开始直接将安全通用要求的后面五个跟规章制度相关的内容进行讲解。相对而言管理层面的整改相对技术层面的整改要简单,主要涉及各种规章制度,记录表等,整改成本也较低,因此对管理层面的差距评估及整改是等保中的拿分项。最后这两块:安全建设管理和安全运维管理是管理层面中控制点最多的两块。
安全建设管理
安全通用要求的安全建设管理部分针对安全建设过程提出安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理十个方面,各等级控制点分布如下图所示。
8.1.9.1 定级和备案
这个控制点基本就是送分项,已备案系统默认为符合,且定级报告中明确信息系统边界与安全保护等级。
8.1.9.2 安全方案设计
a)说明:1、如根据等保要求进行过全面的自查或对比并采取了调整措施的可认为符合。
2、未调整过的,查看已有方案,能满足相应等级要求的认为符合。
8.1.9.3 产品采购和使用
a)说明:安全产品是指纳入十三类强制认证的,而操作系统、数据库是指安全操作系统和安全数据库产品还是其它的,需要明确。
PS:13类信息安全产品包括:防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统、网络脆弱性扫描产品、安全审计产品、网站恢复产品等。
c)说明:在产品采购前是否预先对产品进行选型测试,是否具有测试结果记录,记录是否至少包括测试时间、测试地点、测试对象、测试结果、测试人员签字等。
8.1.9.4 自行软件开发
说明:如果系统是外包开发的,本控制点可以视为不适用,对于e),需要第三方出具的漏扫报告。
8.1.9.5 外包软件开发
a)说明:1、本项目是要求在开发商提供软件源代码的前提下,对软件实施代码级的检查并能提供记录。
2、开发商提供软件源代码且提供第三方检测报告。
如果软件是自主研发则该控制点不适用。
8.1.9.6 工程实施
8.1.9.7 测试验收
8.1.9.8 系统交付
c)说明:访谈建设负责人建设过程的管控措施,若有可补齐相关文档。
8.1.9.9 等级测评
b)说明:1、制度要求可以引用国家标准。
2、初测系统应判定不适用。