文章目录
- 等保测评全流程
- 定级备案
- 安全等级保护定级报告(大纲)
- 差分整改(重点)
- 安全物理环境
- 安全区域边界
- 安全通信网络
- 安全计算环境(内容较多)
- 安全管理中心
- 安全管理
- 等级测评
- 等保项目交付存在的问题
- 等级保护工作角色分工
等保测评全流程
等级保护整体流程介绍
各个阶段产出的文档:
定级备案
定级备案过程及工作内容
安全等级保护定级报告(大纲)
依据定级指南确定目标系统的安全保护等级,同时也是对安全保护等级确定过程的说明。
1.目标业务系统描述
系统的基本功能
系统的责任部门
系统的网络结构及部署情况
采取的基本防护措施
2.业务信息及系统服务的安全保护等级确定
业务信息及系统服务的描述
业务信息及系统服务受到破坏时所侵害客体的描述
业务信息及系统服务受到破坏时对侵害客体的侵害程度
业务信息及系统服务的安全等级的确定
3.系统安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定
差分整改(重点)
差分整改过程关注的高风险问题
安全物理环境
这块没有包含在一个中心,三个防护的内容里面,但是也是在等保标准里面的,只不过大多数系统这块都基本满足。
安全区域边界
通信协议转化(或者网闸)通常用于四级系统
安全通信网络
设备处理能力要看高峰期的记录。
安全计算环境(内容较多)
安全管理中心
安全管理
1.安全管理制度:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统。
2.安全建设管理:关键设备和网络安全专用产品的使用违反国家有关规定。
3.密码管理:密码产品与服务的使用违反国家密码管理主管部门的要求。
4.外包开发代码审计:被测单位未对外包公司开发的系统进行源代码安全审查,外包公司也无法提供第三方安全检测证明。
5.上线前安全检测:系统上线前未进行任何安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线。
6.服务提供商:选择不符合国家有关规定的服务供应商。
7.变更管理:未建立变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容;变更过程未保留相关操作日志及备份措施,出现问题无法进行恢复还原。
8.运维工具管控:未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,如病毒、漏洞扫描等;对运维工具的接入也未进行严格的控制和审批;操作结束后也未要求删除可能临时存放的敏感数据。
9.外联管控:管理制度上无关于外部连接的授权和审批流程,也未定期进行相关的巡检;无技术手段检查违规上网及其他网络安全策略的行为。
10.外来设备接入:未在管理制度或安全培训手册中明确外来计算机或存储设备接入安全操作流程;外来计算机或存储设备接入系统前未进行恶意代码检查。
11.数据备份:无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份。
12.应急预案:未制定重要事件的应急预案或未定期对系统相关的人员进行应急预案培训,未进行过应急预案的演练。
13.外包运维管理:选择的外包运维服务商不符合国家有关规定。
等级测评
等级测评活动的工作内容
等保项目交付存在的问题
1、不知道在等保项目交付过程中要做哪些事情;
2、不了解等保的技术要求,也不知道设备要怎么配才能满足等保的技术要求;
3、不知道怎么给测评师展示检项对应的产品功能界面;
等级保护工作角色分工
网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个流程。在等级保护全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、安全厂商、测评机构。等级保护各工作流程内容及角色分工如下:
流程\角色 | 运营使用单位 | 公安机关 | 安全厂商 | 测评机构 |
定级 | 确定安全保护等级,填写定级备案表、编写定级报告 | 协助确认定级对象,为运营、使用单位提供定级咨询服务,辅导运营、使用单位准备定级报告,并组织专家评审(二级以上) | 可承接运营、使用单位的定级咨询服务 | |
备案 | 准备备案材料,到当地公安机关备案 | 当地公安机关审核受理备案材料 | 辅导运营、使用单位准备备案材料和提交备案申请 | 可承接运营、使用单位的备案服务 |
建设整改 | 建设符合等级要求的安全技术和管理体系 | 依据相应等级要求对当前实际情况进行差距分析,针对不符合项以及行业特性要求进行个性化的整改方案设计,协助运营、使用单位完成建设整改工作 | ||
等级测评 | 准备和接受测评机构测评 | 在测评阶段会指导运营、使用单位配合测评中心展开等级测评工作,并保障顺利通过等保测评获得测评报告 | 对等级保护对象符合性状况进行测评 | |
监督检查 | 接受公安机关的定期检查 | 公安机关监督检查运营、使用单位是否按要求开展等级保护工作 | 根据运营、使用单位需要配合完成自查工作,协助运营、使用单位接受检查和进行整改 |