专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


等级保护丨等级保护测评内容详解

2017-11-16 15:15 推荐: 浏览: 174 views 字号:

摘要: 最近有一些合作伙伴找到我们,说到做等级保护,等级保护在大部分人看来都是比较繁琐的,流程多,持续时间长,无形之中给企业工作人员带来很多的压力,但事实情况真的这样的? 我们为什么要做等级保护?等级保护一般主要分哪几个阶段,等级保护主要从哪几个方面进行?对于做了等...

最近有一些合作伙伴找到我们,说到做等级保护,等级保护在大部分人看来都是比较繁琐的,流程多,持续时间长,无形之中给企业工作人员带来很多的压力,但事实情况真的这样的?

我们为什么要做等级保护?等级保护一般主要分哪几个阶段,等级保护主要从哪几个方面进行?对于做了等级保护的企业来说又有什么好处呢?我们一起来看看。

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。

开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。

信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。

中国软件评测中心作为全国等级保护测评机构推荐单位,面向全国开展信息系统等级保护测评工作。

目前信息安全等级保护主要分为五级,五级是最高级别,目前大部分申请单位申请三级比较常见。一般主要包括以下流程:

等级保护测评主要测试哪些呢?相信很多人对这个更感兴趣。

等级保护测评主要测以下十个层面:

技术层面:

物理安全、主机安全、网络安全、应用安全和数据安全与备份;管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

技术层面具体的对象是:

1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。

2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。

3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个

最终经过等级保护测评之后,那对于申请测评单位来说主要能收获哪些呢?

01.被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。

02.通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。

最近不少安全检查在全国各地开始了,主管单位上门检查一部分内容就会是有没有开展等级保护工作,开展的情况,我们把这些资料给他们看,他们就知道我们做了等保,在信息安全上工作上做了不少。

因为很难通过你买了什么安全设备就判断你安全工作做好了,没有安全风险了,而等保虽不能证明你一定安全,但至少等保是从不同层面对你的信息系统整体性做了一个安全评估,相对更可信,而且也是书面性的资料。

最后补充一句,看上去等保需要做很多内容,好多用户担心会给自己增加很多工作内容,其实这个担心是多余的也是错误的,真正做等保的过程中,一般只需要一到两个对你们单位系统情况,网络设备比较了解的人配合就可以,大部门工作是测评机构在做;

另外安全工作不是因为做了等保才要去做,如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的,只是通过做等保,我们把这样的问题集中暴露出来,更早的把这些问题解决,把安全隐患扼杀在摇篮之中。

来源:部分参考等级保护测评

悬镜安全实验室:

悬镜安全实验室由资深安全专家结合多年的安全工程实施经验和技术储备为行业客户提供专业的安全保障和安全咨询等服务,主要包括:服务器防黑加固、高级渗透测试、安全事件应急响应、信息系统安全风险评估、安卓App风险评估及APT模拟攻击测试、等级保护等,全天候7*24位金融、电商、开发者和政企客户的各类应用服务提供一站式【云+端】防黑加固解决方案。

 

联系站长租广告位!

中国首席信息安全官


关闭


关闭