测评内容和实施
测评内容:
单元测评,主要是测评信息安全等级保护要求的基本安全测评单元在信息系统中的实施配置情况;单元测评分为安全技术测评和安全管理测评两大类。
安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面。
安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个层面。
测评依据
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019)中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
测评对象包括机房、网络设备、安全设备、服务器/存储设备、终端/现场设备、系统管理软件/平台、业务应用系统/平台、安全相关人员、机房、介质以及管理文档。选择过程中综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。
-
二级测评对象
依据《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449)中测评对象确定原则和方法如下:第二级定级对象的等级测评,测评对象的种类和数量都较多,重点抽查重要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面:
-
主机房(包括其环境、设备和设施等),如果某--辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施,那么也应该作为测评对象;
-
存储被测定级对象重要数据的介质的存放环境;
-
整个系统的网络拓扑结构;
-
安全设备,包括防火墙、人侵检测设备、防病毒网关等;
-
边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等;
-
对整个定级对象或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
-
承载被测定级对象核心或重要业务、数据的服务器(包括其操作系统和数据库);
-
重要管理终端;
-
能够代表被测定级对象主要使命的业务应用系统;
-
信息安全主管人员、各方面的负责人员;
-
涉及到定级对象安全的所有管理制度和记录。
在二级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。
-
二级测评指标
依据拟定级结果,本次测评项目的安全测评指标应包括《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)“第二级安全要求”中的安全通用要求。
第二级系统安全测评实施:
| 安全类 | 安全控制点 | 测评项数 |
| 安全物理环境 | 物理位置的选择 | 2 |
| 物理访问控制 | 1 | |
| 防盗窃和防破坏 | 2 | |
| 防雷击 | 1 | |
| 防火 | 2 | |
| 防水防潮 | 2 | |
| 防静电 | 1 | |
| 温湿度控制 | 1 | |
| 电力供应 | 2 | |
| 电磁防护 | 1 | |
| 安全通信网络 | 网络架构 | 2 |
| 通信传输 | 1 | |
| 可信验证 | 1 | |
| 安全区域边界 | 边界防护 | 1 |
| 访问控制 | 4 | |
| 入侵防范 | 1 | |
| 恶意代码防范 | 1 | |
| 安全审计 | 3 | |
| 可信验证 | 1 | |
| 安全计算环境 | 身份鉴别 | 3 |
| 访问控制 | 4 | |
| 安全审计 | 3 | |
| 入侵防范 | 5 | |
| 恶意代码防范 | 1 | |
| 可信验证 | 1 | |
| 数据完整性 | 1 | |
| 数据备份恢复 | 2 | |
| 剩余信息保护 | 1 | |
| 个人信息保护 | 2 | |
| 安全管理中心 | 系统管理 | 2 |
| 审计管理 | 2 | |
| 安全管理制度 | 安全策略 | 1 |
| 管理制度 | 2 | |
| 制定和发布 | 2 | |
| 评审和修订 | 1 | |
| 安全管理机构 | 岗位设置 | 2 |
| 人员配备 | 1 | |
| 授权和审批 | 2 | |
| 沟通和合作 | 3 | |
| 审核和检查 | 1 | |
| 安全管理人员 | 人员录用 | 2 |
| 人员离岗 | 1 | |
| 安全意识和教育培训 | 1 | |
| 外部人员访问管理 | 3 | |
| 安全建设管理 | 定级和备案 | 4 |
| 安全方案设计 | 3 | |
| 产品采购和使用 | 2 | |
| 自行软件开发 | 2 | |
| 外包软件开发 | 2 | |
| 工程实施 | 2 | |
| 测试验收 | 2 | |
| 系统交付 | 3 | |
| 等级测评 | 3 | |
| 服务供应商管理 | 2 | |
| 安全运维管理 | 环境管理 | 3 |
| 资产管理 | 1 | |
| 介质管理 | 2 | |
| 设备维护管理 | 2 | |
| 漏洞和风险管理 | 1 | |
| 网络和系统安全管理 | 5 | |
| 恶意代码防范管理 | 3 | |
| 配置管理 | 1 | |
| 密码管理 | 2 | |
| 变更管理 | 1 | |
| 备份与恢复管理 | 3 | |
| 安全事件处置 | 3 | |
| 应急预案管理 | 2 | |
| 外包运维管理 | 2 | |
| 总计 | 135 | |
-
三级测评对象
第三级定级对象的等级测评,测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面:
-
主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于定级对象的局部(包括整体)或对定级对象的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
-
存储被测定级对象重要数据的介质的存放环境;
-
办公场地;
-
整个系统的网络拓扑结构;
-
安全设备,包括防火墙、人侵检测设备和防病毒网关等;
-
边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
-
对整个定级对象或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
-
承载被测定级对象主要业务或数据的服务器(包括其操作系统和数据库);
-
管理终端和主要业务应用系统终端;
-
能够完成被测定级对象不同业务使命的业务应用系统;
-
业务备份系统;
-
信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
-
涉及到定级对象安全的所有管理制度和记录。
在三级定级对象测评时,定级对象中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。
-
三级测评指标
依据拟定级结果,本次测评项目的安全测评指标应包括《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)“第三级安全要求”中的安全通用要求。
第三级系统安全测评实施:
| 安全层面 | 安全控制点 | 测评项数 |
| 安全物理环境 | 物理位置的选择 | 2 |
| 物理访问控制 | 1 | |
| 防盗窃和防破坏 | 3 | |
| 防雷击 | 2 | |
| 防火 | 3 | |
| 防水防潮 | 3 | |
| 防静电 | 2 | |
| 温湿度控制 | 1 | |
| 电力供应 | 3 | |
| 电磁防护 | 2 | |
| 安全通信网络 | 网络架构 | 5 |
| 通信传输 | 2 | |
| 可信验证 | 1 | |
| 安全区域边界 | 边界防护 | 4 |
| 访问控制 | 5 | |
| 入侵防范 | 4 | |
| 恶意代码防范 | 2 | |
| 安全审计 | 4 | |
| 可信验证 | 1 | |
| 安全计算环境 | 身份鉴别 | 4 |
| 访问控制 | 7 | |
| 安全审计 | 4 | |
| 入侵防范 | 6 | |
| 恶意代码防范 | 1 | |
| 可信验证 | 1 | |
| 数据完整性 | 2 | |
| 数据保密性 | 2 | |
| 数据备份恢复 | 3 | |
| 剩余信息保护 | 2 | |
| 个人信息保护 | 2 | |
| 安全管理中心 | 系统管理 | 2 |
| 审计管理 | 2 | |
| 安全管理 | 2 | |
| 集中管控 | 6 | |
| 安全管理制度 | 安全策略 | 1 |
| 管理制度 | 3 | |
| 制定和发布 | 2 | |
| 评审和修订 | 1 | |
| 安全管理机构 | 岗位设置 | 3 |
| 人员配备 | 2 | |
| 授权和审批 | 3 | |
| 沟通和合作 | 3 | |
| 审核和检查 | 3 | |
| 安全管理人员 | 人员录用 | 3 |
| 人员离岗 | 2 | |
| 安全意识和教育培训 | 3 | |
| 外部人员访问管理 | 4 | |
| 安全建设管理 | 定级和备案 | 4 |
| 安全方案设计 | 3 | |
| 产品采购和使用 | 3 | |
| 自行软件开发 | 7 | |
| 外包软件开发 | 3 | |
| 工程实施 | 3 | |
| 测试验收 | 2 | |
| 系统交付 | 3 | |
| 等级测评 | 3 | |
| 服务供应商管理 | 3 | |
| 安全运维管理 | 环境管理 | 3 |
| 资产管理 | 3 | |
| 介质管理 | 2 | |
| 设备维护管理 | 4 | |
| 漏洞和风险管理 | 2 | |
| 网络和系统安全管理 | 10 | |
| 恶意代码防范管理 | 2 | |
| 配置管理 | 2 | |
| 密码管理 | 2 | |
| 变更管理 | 3 | |
| 备份与恢复管理 | 3 | |
| 安全事件处置 | 4 | |
| 应急预案管理 | 4 | |
| 外包运维管理 | 4 | |
| / | 总计 | 211 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
