來源:安全前沿 | 作者: | 日期:2021-12-09 14:39:07 | 閱讀: 7903
信息安全等保測評全稱是信息安全等級保護(hù)測評,是經(jīng)公安部認(rèn)證的具有資質(zhì)的測評機(jī)構(gòu),依據(jù)國家信息安全等級保護(hù)規(guī)范規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估,應(yīng)包括兩個方面的內(nèi)容
1、安全控制測評主要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;???????????????????2、系統(tǒng)整體測評主要測評分析信息系統(tǒng)的整體安全性。其中,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。對安全控制測評的描述,使用測評單元方式組織。
測評單元分為安全技術(shù)測評和安全管理測評兩大類
1、安全技術(shù)測評:包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全控制測評。
2、安全管理測評:包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個方面的安全控制測評。
信息系統(tǒng)全生命周期
信息系統(tǒng)全生命周期分為“信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實(shí)施、安全運(yùn)行維護(hù)、信息系統(tǒng)終止”等五個階段。
信息系統(tǒng)定級
定級備案是信息安全等級保護(hù)的首要環(huán)節(jié)。信息系統(tǒng)定級工作應(yīng)按照“自主定級、專家評審、主管部門審批、公安機(jī)關(guān)審核”的原則進(jìn)行。在等級保護(hù)工作中,信息系統(tǒng)運(yùn)營使用單位和主管部門按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的原則開展工作,并接受信息安全監(jiān)管部門對開展等級保護(hù)工作的監(jiān)管。
總體安全規(guī)劃
總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務(wù)情況,通過分析明確信息系統(tǒng)安全需求,設(shè)計合理的、滿足等級保護(hù)要求的總體安全方案,并制定出安全實(shí)施計劃,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對于已運(yùn)營(運(yùn)行)的信息系統(tǒng),需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級保護(hù)要求之間的差距。
安全設(shè)計與實(shí)施
安全設(shè)計與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)安全總體方案的要求,結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計劃,分期分步落實(shí)安全措施。
安全運(yùn)行維護(hù)
安全運(yùn)行與維護(hù)是等級保護(hù)實(shí)施過程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié),涉及的內(nèi)容較多,包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立,環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理,網(wǎng)絡(luò)、系統(tǒng)的管理,密碼、密鑰的管理,運(yùn)行、變更的管理,安全狀態(tài)監(jiān)控和安全事件處置,安全審計和安全檢查等內(nèi)容。本標(biāo)準(zhǔn)并不對上述所有的管理過程進(jìn)行描述,希望全面了解和控制安全運(yùn)行與維護(hù)階段各類過程的本標(biāo)準(zhǔn)使用者可以參見其它標(biāo)準(zhǔn)或指南。
信息系統(tǒng)終止
信息系統(tǒng)終止階段是等級保護(hù)測評實(shí)施過程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時,正確處理系統(tǒng)內(nèi)的敏感信息對于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。
在信息系統(tǒng)生命周期中,有些系統(tǒng)并不是真正意義上的廢棄,而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng),對于這些信息系統(tǒng)在終止處理過程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全。
文章圖片來源于網(wǎng)絡(luò),僅供交流學(xué)習(xí),版權(quán)歸原作者所有,如有侵權(quán),請聯(lián)系刪除,謝謝!
蘭州網(wǎng)站建設(shè),甘肅制作網(wǎng)站,蘭州點(diǎn)石網(wǎng)絡(luò) 版權(quán)所有 ?2018-2024 隴ICP備12000250號 甘公網(wǎng)安備: 62010002000051