在展开信息系统等级保护测评工作之前,需要先对企业的信息系统进行调研,调研的主要内容包含:
1. 资产清单:系统所使用的服务器、网络设备、安全设备的厂商、类型、版本号、所使用的操作系统,数据库等,及资产的责任人等;
2. 网络拓扑图:要求与网络现状一致。
3. 配合人员:网络管理员、服务器管理员、数据库管理员、应用管理员等。
4. 企业相关的安全管理制度:如整体安全策略,近远期安全发展目标,人员管理制度等,(一般要求提供所有制度)
1、定级方式
主管部门统一确定安全保护等级。
2、定级的一般流程
依照《定级指南》对信息系统进行定级,或依照上级主管部门要求对信息系统进行定级。详见附件《网络安全等级保护定级指南》
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
1、前期准备工作:
人员:等级保护行业相关专家3~5人,企业方负责等级保护项目的项目经理,网络管理员、运维管理员,应用管理员等。会议过程中,专家可能会对信息系统的基本状况进行询问。如:网络结构,业务主体,服务对象,数据备份情况,安全运维情况等。
时间:与专家协调好的会议时间。
地点:与专家约定好的会议地点,一般在企业会议室。
需要准备的文档:定级报告、备案表各三份;定级过程阐述文档;电子版专家评审意见。需注意专家评审意见中信息系统的名称,专家一旦签字,信息系统的名称将无法更改(如有软件著作权,则名称最好与软件著作权名称一致)。
2、专家评审流程:
专家签到 → 确定专家组组长 → 定级阐述 → 专家就定级相关问题进行提问 → 专家对定级结果进行讨论→ 修改专家评审意见 → 签字 → 定级评审会议结束。
3、文档输出(电子版+纸质盖章版)
《XXX系统定级报告》、《XXX系统备案表》
第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位或者其主管部门(以下简称“备案单位”)到所在地设区的市级以上公安机关办理备案手续。办理备案手续时,应先与所在地设区的市级以上公安机关办(所在地网安大队)取得联系,询问所需的备案材料,不同地区所需的备案材料不尽相同。
依照网安大队的要求将备案资料准备齐全后,到网安大队进行备案。
1、备案时应提交的材料
* 定级报告
* 备案表
* 企业工商营业执照等相关资料。
* 法人身份证
* 网络安全承诺书
* 24小时紧急联系人
* 三级及以上信息系统提供备案表中的全部内容。
* 对应管理区网安大队要求提供的其他资料
2、网安大队受理
办理备案前应先与网安大队约定好备案时间,并准时到达网安大队办理备案。
3、网安大队输出文档
《信息系统安全等级保护备案证明》
相当于等级保护的差距测评(可选,不强制),对信息系统预先进行的一次模拟测评,目的是发现信息系统安全现状与国家等级保护对应等级安全防护能力之前的差距。
出具差距分析报告及整改意见报告。
1、现场访谈
测评工程是在测评过程中需要网络管理员、服务器管理员、数据库管理员、应用管理员等人员进行现场配合,主要的工作方式为:测评工程师说明需要检查哪些相关安全策略,客户的工程师进行操作查询,测评工程师负责记录。
人员:网络管理员、服务器管理员、数据库管理员、应用管理员等。
文档:公司所有有关的安全管理制度、规范、手册等。
2、渗透测试及漏洞扫描
等级保护二级信息系统需进行漏洞扫描,三级信息系统需进行渗透测试,根据其结果进行整改。其中高危、中危漏洞必须修复。整改完成需再次渗透测试验证,确认漏洞修复有效。
3、整改建议
结合企业自身情况进行整改。其中高、中危漏洞必须修复后才能进行测评。
4、文档输出
《等级保护差距测评报告》
此部分根据等级保护差距测评和加固建议,出具具体的安全加固及整改建议方案,并根据方案进行整改,包括:系统补丁升级、网络及安全产品配置整改、增加相应的安全产品、各种环境整改、制度评估及整改等。
由拥有国家等级测评资质测评机构对企业的信息系统进行等级测评,并出具等级测评报告。
1、信息安全等级保护测评的四个阶段
2、信息安全等级保护测评的基本内容
3、文档输出
《XXX系统安全等级测评报告》
