等保測評概述
等級測評是測評機構依據國家信息安全等級保護制度規定,受有關單位委託,按照有關管理規範和技術標準,運用科學的手段和方法,對處理特定應用的信息系統,採用安全技術測評和安全管理測評方式,對保護狀況進行檢測評估,判定受測系統的技術和管理級別與所定安全等級要求的符合程度,基於符合程度給出是否滿足所定安全等級的結論,針對安全不符合項提出安全整改建議。
科學的手段和方法採用6種方式,逐步深化的測試手段
· 調研訪談(業務、資產、安全技術和安全管理);
· 查看資料(管理制度、安全策略);· 現場觀察(物理環境、物理部署);· 查看配置(主機、網路、安全設備);· 技術測試(漏洞掃描);· 評價(安全測評、符合性評價)。
安全技術測評:安全技術測評包括:物理安全、網路安全、主機安全、應用安全、數據安全。
安全管理測評:
安全管理測評包括:安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
信息系統全生命周期
信息系統全生命周期分為「信息系統定級、總體安全規劃、安全設計與實施、安全運行維護、信息系統終止」等五個階段。
信息系統定級定級備案是信息安全等級保護的首要環節。信息系統定級工作應按照「自主定級、專家評審、主管部門審批、公安機關審核」的原則進行。在等級保護工作中,信息系統運營使用單位和主管部門按照「誰主管誰負責,誰運營誰負責」的原則開展工作,並接受信息安全監管部門對開展等級保護工作的監管。
總體安全規劃總體安全規劃階段的目標是根據信息系統的劃分情況、信息系統的定級情況、信息系統承載業務情況,通過分析明確信息系統安全需求,設計合理的、滿足等級保護要求的總體安全方案,並制定出安全實施計劃,以指導後續的信息系統安全建設工程實施。對於已運營(運行)的信息系統,需求分析應當首先分析判斷信息系統的安全保護現狀與等級保護要求之間的差距。
安全設計與實施
安全設計與實施階段的目標是按照信息系統安全總體方案的要求,結合信息系統安全建設項目計劃,分期分步落實安全措施
安全運行維護安全運行與維護是等級保護實施過程中確保信息系統正常運行的必要環節,涉及的內容較多,包括安全運行與維護機構和安全運行與維護機制的建立,環境、資產、設備、介質的管理,網路、系統的管理,密碼、密鑰的管理,運行、變更的管理,安全狀態監控和安全事件處置,安全審計和安全檢查等內容。本標準並不對上述所有的管理過程進行描述,希望全面了解和控制安全運行與維護階段各類過程的本標準使用者可以參見其它標準或指南
信息系統終止信息系統終止階段是等級保護實施過程中的最後環節。當信息系統被轉移、終止或廢棄時,正確處理系統內的敏感信息對於確保機構信息資產的安全是至關重要的。在信息系統生命周期中,有些系統並不是真正意義上的廢棄,而是改進技術或轉變業務到新的信息系統,對於這些信息系統在終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全
實施的基本流程在安全運行與維護階段,信息系統因需求變化等原因導致局部調整,而系統的安全保護等級並未改變,應從安全運行與維護階段進入安全設計與實施階段,重新設計、調整和實施安全措施,確保滿足等級保護的要求;但信息系統發生重大變更導致系統安全保護等級變化時,應從安全運行與維護階段進入信息系統定級階段,重新開始一輪信息安全等級保護的實施過程。