全屏背景
导航菜单
自定内容
微察秋毫  戈矛森立
自定内容

让智能时代更安全

Make the smart age safer

图片
图片
图片
内容标题列表
自定内容

公司业务

___

内容标题

 等级保护测评

1.1.1       等级保护定义

信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。

1.1.2       等级测评概述

等级测评是依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用调查访谈(业务、资产、安全技术和安全管理)、查看资料(管理制度、安全策略)、现场观察(物理环境、物理部署)、查看配置(主机、网络、安全设备)、技术测试(漏洞扫描)、评价(安全测试、符合性评价)6种科学的手段和方法,对特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合提出安全整改建议。

1.1.3       等级测评对象

测评对象指测评实施的对象,即测评过程中涉及到的信息系统的相关人员、制度文档、各类设备及其安全配置等。

1.1.4       等级测评内容

访谈、检查、测试。

访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程,

检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程,

测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程。

1.1.6       等级测评价值

经过合理的信息安全分析,技术方面等级保护根据不同的安全性要求设计整体的安全基础架构,从网络边界防御到内部安全控制;管理方面通过构建信息安全组织架构和人员配备,有效的结合企业安全现状,建立信息安全建设、日常维护、业务连续性等进行有效的制度和策略建设,合理进行贯彻和落实,紧密结合技术控制措施,实现企业信息安全体系化建设;

等级保护通过技术和管理合理地构建信息安全管理体系,其中技术防御方面136控制项(占47%比例),管理安全防御方面154控制项(占53%比例),涉及10个安全控制方面,能够有效合理的把技术和管理措施融合,增强资源优化合理,现有资源安全最大化。

1.1.7       等级测评流程

1.1.8       测评标准

1、《信息系统安全等级保护测评要求》GB/T 28448-2012

2、《信息系统安全等级保护测评过程指南》GB/T 28449-2012

3、《信息系统安全等级保护实施指南》GB/T 25058-2010

4、《信息系统等级保护安全设计技术要求》GB/T 25070-2010

5、《信息系统安全等级保护定级指南》GB/T 22240-2008

6、《信息系统安全等级保护基本要求》GB/T 22239-2008

7、《计算机信息系统安全保护等级划分准则》GB 17859-1999

 
自定内容
福建省微森信息科技有限公司成立于2014年,是国家公安部授权的网络安全等级保护测评机构
全屏背景
自定内容

法律声明   |   网站地图   |   官网首页

自定内容

©2019-2020 版权所有 © 福建省微森信息科技有限公司  未经许可  严禁复制  | 沪ICP备000000号

联系电话:400-6777-339

图片
自定内容

24小时服务热线

自定内容

400-6777-339

图片
自定内容

订阅号

图片
自定内容

服务号