信息系统安全等级保护测评流程是什么?
实验室的项目要申请信息系统安全等级保护测评,在网上查了些资料,现在有一些疑问如下:
1:信息安全等级评测之前是否必须在当地的公安机关备案?
2:申请安全等级测评大概需要多少费用?
3:由于目前国内申请安保测评的不多,如果有测评通过的百度er,麻烦介绍些细节!
我们是做软件的,是不是软件根本就没有安全等级评测制度?
ããä¿¡æ¯ç³»ç»å®å ¨ç级ä¿æ¤æµè¯åå¤æ´»å¨çå·¥ä½æµç¨ï¼
ããä¿¡æ¯ç³»ç»å®å ¨ç级ä¿æ¤æµè¯åå¤æ´»å¨çç®æ æ¯é¡ºå©å¯å¨æµè¯é¡¹ç®ï¼åå¤æµè¯æéçç¸å ³èµæï¼ä¸ºé¡ºå©ç¼å¶æµè¯æ¹æ¡æä¸è¯å¥½çåºç¡ã
ããä¿¡æ¯ç³»ç»å®å ¨ç级ä¿æ¤æµè¯åå¤æ´»å¨å æ¬é¡¹ç®å¯å¨ãä¿¡æ¯æ¶éååæãå·¥å ·å表ååå¤ä¸é¡¹ä¸»è¦ä»»å¡ãè¿ä¸é¡¹ä»»å¡çåºæ¬å·¥ä½æµç¨è§ä¸å¾ï¼
ããä¸ã项ç®å¯å¨
ããå¨é¡¹ç®å¯å¨ä»»å¡ä¸ï¼æµè¯æºæç»å»ºç级æµè¯é¡¹ç®ç»ï¼è·åæµè¯å§æåä½å被æµç³»ç»çåºæ¬æ åµï¼ä»åºæ¬èµæã人åã计åå®æçæ¹é¢ä¸ºæ´ä¸ªç级æµè¯é¡¹ç®çå®æ½ååºæ¬åå¤ã
ããè¾å ¥ï¼å§ææµè¯å议书ã
ããä»»å¡æè¿°ï¼
ããa) æ ¹æ®æµè¯åæ¹ç¾è®¢çå§ææµè¯å议书åç³»ç»è§æ¨¡ï¼æµè¯æºæç»å»ºæµè¯é¡¹ç®ç»ï¼ä»äººåæ¹é¢å好åå¤ï¼å¹¶ç¼å¶é¡¹ç®è®¡å书ã项ç®è®¡å书åºå å«é¡¹ç®æ¦è¿°ãå·¥ä½ä¾æ®ãææ¯æè·¯ãå·¥ä½å 容å项ç®ç»ç»çã
ããb) æµè¯æºæè¦æ±æµè¯å§æåä½æä¾åºæ¬èµæï¼å æ¬ï¼è¢«æµç³»ç»æ»ä½æè¿°æ件ï¼è¯¦ç»æè¿°æ件ï¼å®å ¨ä¿æ¤ç级å®çº§æ¥åï¼ç³»ç»éªæ¶æ¥åï¼å®å ¨éæ±åææ¥åï¼å®å ¨æ»ä½æ¹æ¡ï¼èªæ¥æä¸æ¬¡ç级æµè¯æ¥åï¼å¦ææï¼ï¼æµè¯å§æåä½çä¿¡æ¯å建设ç¶åµä¸åå±ä»¥åèç»æ¹å¼çã
ããè¾åº/产åï¼é¡¹ç®è®¡å书ã
ããäºã ä¿¡æ¯æ¶éååæ
ããæµè¯æºæéè¿æ¥é 被æµç³»ç»å·²æèµææ使ç¨è°æ¥è¡¨æ ¼çæ¹å¼ï¼äºè§£æ´ä¸ªç³»ç»çææåä¿æ¤æ åµï¼ä¸ºç¼åæµè¯æ¹æ¡åå¼å±ç°åºæµè¯å·¥ä½å¥ å®åºç¡ã
ããè¾å ¥ï¼è°æ¥è¡¨æ ¼ï¼è¢«æµç³»ç»æ»ä½æè¿°æ件ï¼è¯¦ç»æè¿°æ件ï¼å®å ¨ä¿æ¤ç级å®çº§æ¥åï¼ç³»ç»éªæ¶æ¥åï¼å®å ¨éæ±åææ¥åï¼å®å ¨æ»ä½æ¹æ¡ï¼èªæ¥æä¸æ¬¡ç级æµè¯æ¥åï¼å¦ææï¼ã
ããä»»å¡æè¿°ï¼
ããa) æµè¯æºææ¶éç级æµè¯éè¦çåç§èµæï¼å æ¬æµè¯å§æåä½çåç§æ¹éæ件ãè§ç« å¶åº¦åç¸å ³è¿ç¨ç®¡çè®°å½ã被æµç³»ç»æ»ä½æè¿°æ件ã详ç»æè¿°æ件ãå®å ¨ä¿æ¤ç级å®çº§æ¥åãå®å ¨éæ±åææ¥åãå®å ¨æ»ä½æ¹æ¡ãå®å ¨ç°ç¶è¯ä»·æ¥åãå®å ¨è¯¦ç»è®¾è®¡æ¹æ¡ãç¨æ·æåãè¿è¡æ¥éª¤ãç½ç»å¾è¡¨ãé 置管çææ¡£çã
ããb) æµè¯æºæå°è°æ¥è¡¨æ ¼æ交ç»æµè¯å§æåä½ï¼ç£ä¿è¢«æµç³»ç»ç¸å ³äººåå确填åè°æ¥è¡¨æ ¼ã
ããc) æµè¯æºææ¶åå¡«åå®æçè°æ¥è¡¨æ ¼ï¼å¹¶åæè°æ¥ç»æï¼äºè§£åçæ被æµç³»ç»çå®é æ åµãåæçå 容å æ¬è¢«æµç³»ç»çåºæ¬ä¿¡æ¯ãç©çä½ç½®ãè¡ä¸ç¹å¾ã管çæ¡æ¶ã管ççç¥ãç½ç»å设å¤é¨ç½²ã软硬件éè¦æ§åé¨ç½²æ åµãèå´åè¾¹çãä¸å¡ç§ç±»åéè¦æ§ãä¸å¡æµç¨ãä¸å¡æ°æ®åéè¦æ§ãä¸å¡å®å ¨ä¿æ¤ç级ãç¨æ·èå´ãç¨æ·ç±»åã被æµç³»ç»æå¤çè¿è¡ç¯å¢åé¢ä¸´çå¨èçãè¿äºä¿¡æ¯å¯ä»¥éç¨èªæ¥æä¸æ¬¡ç级æµè¯æ¥åä¸çå¯ä¿¡ç»æã
ããd) å¦æè°æ¥è¡¨æ ¼å¡«åä¸åç¡®æä¸å®åæåå¨ç¸äºçç¾çå°æ¹è¾å¤ï¼æµè¯æºæåºå®æç°åºè°æ¥ï¼ä¸è¢«æµç³»ç»ç¸å ³äººåè¿è¡é¢å¯¹é¢çæ²éåäºè§£ã
ããè¾åº/产åï¼å¡«å¥½çè°æ¥è¡¨æ ¼ã
ããä¸ãå·¥å ·å表ååå¤
ããæµè¯é¡¹ç®ç»æåå¨è¿è¡ç°åºæµè¯ä¹åï¼åºçæä¸è¢«æµç³»ç»ç¸å ³çåç§ç»ä»¶ãè°è¯æµè¯å·¥å ·ãåå¤åç§è¡¨åçã
ããè¾å ¥ï¼åç§ä¸è¢«æµç³»ç»ç¸å ³çææ¯èµæã
ããä»»å¡æè¿°ï¼
ããa) æµè¯äººåè°è¯æ¬æ¬¡æµè¯è¿ç¨ä¸å°ç¨å°çæµè¯å·¥å ·ï¼å æ¬æ¼æ´æ«æå·¥å ·ãæ¸éæ§æµè¯å·¥å ·ãæ§è½æµè¯å·¥å ·ååè®®åæå·¥å ·çã
ããb) æµè¯äººå模æ被æµç³»ç»æ建æµè¯ç¯å¢ã
ããc) åå¤åæå°è¡¨åï¼ä¸»è¦å æ¬ï¼ç°åºæµè¯ææ书ãæ档交æ¥åãä¼è®®è®°å½è¡¨åãä¼è®®ç¾å°è¡¨åçã
ããè¾åº/产åï¼éç¨çæµè¯å·¥å ·æ¸ åï¼æå°çå类表åã
等级测评的流程:
差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
1、测评准备活动阶段
签订《合作合同》与《保密协议》
首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(系统数量)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
签订《测评服务合同》同时,测评机构应签署《保密协议》。《保密协议》一般分两种,一种是测评机构与被测单位(公对公)签署,约定测评机构在测评过程中的保密责任;一种是测评机构项目组成员与被测单位之间签署。
项目启动会
在双方签完委托测评合同之后,双方即可约定召开项目启动会时间。项目启动会的目的,主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容,为整个等级测评项目的实施做基本准备。
系统情况调研
启动会后,测评方开展调研,通过填写《信息系统基本情况调查表》,掌握被测系统的详细情况,为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半,三级系统的准备工作一般需要2天左右完成。
2、测评方案编制阶段
该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。
3、现场测评阶段
现场测评活动是开展等级测评工作的核心活动,包括技术测评和管理测评。其中技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。
一个二级系统的现场测评工作一般需要5天左右完成。
此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。
4、分析与报告编制阶段
此阶段主要任务是根据现场测评结果,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。
此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。
此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。
5、整改阶段
主要根据测评机构出具的差距测评报告和整改建议进行整改,此阶段主要由备案单位实施,测评机构协助,客户可以根据自身的实际情况,把整改分为短期、中期、长期。
6、验收测评阶段
测评流程与之前的流程相同,主要是检查整改的效果。
综上,一个二级系统完整的测评一次,在客户方充分配合、测评方派3名测评师的情况下,大致需要四周左右。如果有多个系统同时测评,会存在部分重复工作,具体情况需要具体分析。
技术层面:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全系统运维;
管理层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
技术层面具体的对象是:
1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
掌控大数据
信息系统全生命周期分为以下五个阶段:
信息系统定级:定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
总体安全规划:总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
安全设计与实施:安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
安全运行维护:安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。
信息系统终止:信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。如果需要了解更多等级保护知识建议百度搜索:等保通
http://www.iceflow.cn/feature/dengbao/index/index.html
这个链接进去后,右下角有一个测评流程图,你可以看一下。
正下方还有各地的测评机构链接,你打电话过去问一下就可以了。
上海这边的测评机构负责人,还是很好说话的,上回问他们问答,也很耐心解答。
1、定级:等保一共分为五级,1-5级,1级最低,5级最高,需要组织专家评审确定定级范围,非客户自己想定几级就是几级,专家评审后会输出专家评审报告。
2、备案:协助客户完成备案的相关材料,结合专家评审报告提交给公安,资料没有问题的情况之下,会先发备案证(部分地区会先发备案号,待测评通过之后,提交测评报告后再发备案证),要求企业在限期内进行测评和完成整改,提交测评报告给公安。
第二步:测评
客户拿到备案证或者备案号后,测评机构才能进场给客户实施测评,初测会收集客户平台系统的基础信息,现场进行一次初测,然后会出具差距报告,报告中会告知客户需要整改的等保合规控制项,需要客户按照差距报告中的建议进行整改。
第三步:整改
客户按照差距报告中的内容进行整改,涉及技术和管理两个层面,技术层面通过安全产品和修改程序代码、安全配置等解决,管理层面需要制定相关的安全制度、记录文件等满足等保的合规要求。
第四步:测评 验收测试、出具测评报告
当客户完成合规整改能达到合规标准后,测评机构会组织一次验收测试,验收通过则会输出合格的测评报告给客户,由客户提交给公安,公安收到确认没有问题的情况下,会给客户出具回执,完成当年的等保测评工作。
等级保护测评流程?
等级保护测评流程是:1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系...
等级保护测评流程是什么,对公司人员要求是什么
信息安全等级保护测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评技术层面具体的对象是:1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。2、业务应用软件,本...
等级保护测评的工作流程是什么?
等级保护测评的工作流程是什么?①系统定级:系统检测,自主定级,新系统建设同时同步确定等级;②等级评审:专家评审,定级报告,市级党政机关到市信息办备案,区县党政机关到区县信息办备案;③定级备案:涉密系统报市和区县国家保密工作部门、其他到公安机关办理备案手续、受理单位备案审核;④评估和整改建设:评...
信息系统安全等级保护测评流程是什么?
信息安全等级保护的办理流程:一步:定级;(根据企业的系统评定办理级别)二步:修改;(对系统经行大致的修改系统)三步:评测;(评测商对系统评测,得分)四步:备案;(在当地的网安部门备案)五步:维护。(定期对系统经行维护)注:大致的流程如上述所说,也有先备案,后评测的,根据当地的规定来办...
等保测评详细流程
网络安全等级保护,简称“等保”,是指对信息系统的安全性进行全面评估和认证的过程。根据我国的《信息安全等级保护管理办法》等法律法规,确保信息系统满足相应等级的安全保护要求。等保测评的详细流程包括以下几个步骤:首先,进行系统备案。这包括申请单位向相关主管部门提交信息系统备案申请,提供系统名称、...
信息安全等级保护测评有哪些流程—陆陆科技
信息安全等级保护测评流程包含依据、工作步骤、测评流程与被测方配合工作。依据《信息系统安全等级保护基本要求》,等级保护测评需定期进行,具体依据等保级别不同。步骤涉及确定信息系统的数量、定级、专家评审、备案、测评、报告与备案,以及制定下一年度工作计划。测评流程包含准备、方案编制、现场测评、分析与...
等级保护测评有哪些步骤
等保测评流程:1、定级 系统定级是等保工作的第一步,我们都知道,等级保护基本要求一共分为五个级别,如果不确定系统等级,就无法选择哪种等级要求进行等保工作。定级过程包括:“确定定级对象 —> 初步确定等级 —> 专家评审 —> 主管部门审核 —> 公安机关备案审查 —> 最终确定等级” 这种线性的...
等保测评的具体流程是什么?
等保测评的流程如下:第一步 定级 信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。虽然是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级。第二步 备案 信息系统,要按照单位所在地址的(...
快速掌握等保测评流程:一步一步指导
等保测评流程是一个系统的过程,主要包括以下几个步骤:首先进行资产梳理,详细梳理企业资产,包括物理机房、网络设备、安全设备、服务器与存储设备、业务应用系统或平台以及安全相关人员等。接下来是专家定级,根据《信息系统安全等级保护定级指南》确定系统等级,等级划分根据系统受到破坏时侵害的客体以及对客体...
2023等保测评定级步骤
运营和使用单位需根据系统的重要程度,在定级后向所在地市级及以上公安机关备案,新建或升级的二级及以上系统应在运营后30天内完成备案。公安机关对备案信息进行审核,符合条件的会在10个工作日内颁发等级保护备案证明。等保测评的具体步骤如下:1. 定级与备案: 依据专家评审确定信息系统等级,从1级至5级...
