什么是信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng),濟(jì)南企業(yè)如何辦理等保
一、基本工作
1、測(cè)評(píng)概念
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)(簡稱“等級(jí)測(cè)評(píng)”)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)管理制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)涉及國家機(jī)密的信息系統(tǒng)安全保護(hù)狀況進(jìn)行分等級(jí)測(cè)試評(píng)估的活動(dòng)。等級(jí)測(cè)評(píng)機(jī)構(gòu),是指具備本規(guī)范的基本條件,經(jīng)能力評(píng)估和審核,由省級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室(以下簡稱為“等保辦”)推薦,從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。
等級(jí)測(cè)評(píng)是合規(guī)性評(píng)判活動(dòng),基本依據(jù)不是個(gè)人或者測(cè)評(píng)機(jī)構(gòu)的經(jīng)驗(yàn),而是網(wǎng)絡(luò)安全等級(jí)保護(hù)的國家有關(guān)標(biāo)準(zhǔn),無論是測(cè)評(píng)指標(biāo)來源,還是測(cè)評(píng)方法的選擇、測(cè)評(píng)內(nèi)容的確定以及結(jié)果判定等活動(dòng)均應(yīng)依據(jù)國家相關(guān)的標(biāo)準(zhǔn)進(jìn)行,按照特定方法對(duì)信息系統(tǒng)的安全保護(hù)能力進(jìn)行科學(xué)公正的綜合評(píng)判過程。
2、測(cè)評(píng)作用和目的
通過進(jìn)行等級(jí)保護(hù)測(cè)評(píng),能夠?qū)π畔⑾到y(tǒng)安全防護(hù)體系能力的分析與確認(rèn);發(fā)現(xiàn)存在的安全隱患;幫助運(yùn)營使用單位認(rèn)識(shí)不足,及時(shí)改進(jìn);有效提升其網(wǎng)絡(luò)安全防護(hù)水平;遵循國家等級(jí)保護(hù)有關(guān)規(guī)定的要求,對(duì)信息系統(tǒng)安全建設(shè)進(jìn)行符合性測(cè)評(píng)。測(cè)評(píng)的作用如下:
① 掌握信息系統(tǒng)的安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求。
② 衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級(jí)保護(hù)基本要求,是否具備了相應(yīng)的安全保護(hù)能力。
③ 等級(jí)測(cè)評(píng)結(jié)果,為 關(guān)等安全監(jiān)管部門開展監(jiān)督、檢查、指導(dǎo)等工作提供參照。
為了達(dá)到上述目的,開展等級(jí)測(cè)評(píng)的最好時(shí)期是安全建設(shè)整改前、安全建設(shè)整改后,及其常規(guī)性定期開展測(cè)評(píng),如三級(jí)系統(tǒng)每年至少開展一次等級(jí)測(cè)評(píng)。
3、測(cè)評(píng)標(biāo)準(zhǔn)依據(jù)
《網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法》第十四條規(guī)定:信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng);第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。
測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等國家標(biāo)準(zhǔn)進(jìn)行等級(jí)測(cè)評(píng),按照 統(tǒng)一制訂的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版》格式出具測(cè)評(píng)報(bào)告。按照行業(yè)標(biāo)準(zhǔn)規(guī)范開展安全建設(shè)整改的信息系統(tǒng),可以國家標(biāo)準(zhǔn)為依據(jù)開展等級(jí)測(cè)評(píng),也可以行業(yè)標(biāo)準(zhǔn)規(guī)范為依據(jù)開展等級(jí)測(cè)評(píng)。
等級(jí)測(cè)評(píng)依據(jù)的兩個(gè)主要標(biāo)準(zhǔn)分別是《GB/T28448—2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《GB/T28449—2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》。其中,《測(cè)評(píng)要求》闡述了《基本要求》中各要求項(xiàng)的具體測(cè)評(píng)方法、步驟和判斷依據(jù)等,用來評(píng)定信息系統(tǒng)的安全保護(hù)措施是否符合《基本要求》。《測(cè)評(píng)過程指南》規(guī)定了開展等級(jí)測(cè)評(píng)工作的基本過程、流程、任務(wù)及工作產(chǎn)品等,規(guī)范測(cè)評(píng)機(jī)構(gòu)的等級(jí)測(cè)評(píng)工作,并對(duì)在等級(jí)測(cè)評(píng)過程中何時(shí)如何使用《測(cè)評(píng)要求》提出了指導(dǎo)建議。二者共同指導(dǎo)等級(jí)測(cè)評(píng)工作。等級(jí)測(cè)評(píng)的測(cè)評(píng)對(duì)象是已經(jīng)確定等級(jí)的信息系統(tǒng)。特定等級(jí)測(cè)評(píng)項(xiàng)目面對(duì)的被測(cè)評(píng)系統(tǒng)是由一個(gè)或多個(gè)不同安全保護(hù)等級(jí)的定級(jí)對(duì)象構(gòu)成的信息系統(tǒng)。等級(jí)測(cè)評(píng)實(shí)施通常采用的測(cè)評(píng)方法是訪談、文檔審查、配置檢查、工具測(cè)試、實(shí)地查看。
4、測(cè)評(píng)工作規(guī)范
等級(jí)測(cè)評(píng)工作中,應(yīng)遵循以下規(guī)范和原則。
① 標(biāo)準(zhǔn)性原則:測(cè)評(píng)工作的開展、方案的設(shè)計(jì)和具體實(shí)施均需依據(jù)我國等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
② 規(guī)范性原則:為用戶提供規(guī)范的服務(wù),工作中的過程和文檔需具有良好的規(guī)范性,可以便于項(xiàng)目的跟蹤和控制。
③ 可控性原則:測(cè)評(píng)過程和所使用的工具具備可控性,測(cè)評(píng)項(xiàng)目采用的工具都經(jīng)過多次測(cè)評(píng)項(xiàng)目考驗(yàn),或者是根據(jù)具體要求和組織的具體網(wǎng)絡(luò)特點(diǎn)定制的,具有良好的可控性。
④ 整體性原則:測(cè)評(píng)服務(wù)從組織的實(shí)際需求出發(fā),從業(yè)務(wù)角度進(jìn)行測(cè)評(píng),而不是局限于網(wǎng)絡(luò)、主機(jī)等單個(gè)的安全層面,涉及安全管理和業(yè)務(wù)運(yùn)營,保障整體性和全面性。
⑤ 最小影響原則:測(cè)評(píng)工作具備充分的計(jì)劃性,不對(duì)現(xiàn)有的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響,盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行。
⑥ 保密性原則:從公司、人員、過程三方面進(jìn)行保密控制——測(cè)評(píng)公司與甲方雙方簽署保密協(xié)議,不得利用測(cè)評(píng)中的任何數(shù)據(jù)進(jìn)行其他有損甲方利益的活動(dòng);人員保密,公司內(nèi)部簽訂保密協(xié)議;在測(cè)評(píng)過程中對(duì)測(cè)評(píng)數(shù)據(jù)嚴(yán)格保密。
⑦ 個(gè)性化原則:根據(jù)被測(cè)信息系統(tǒng)的實(shí)際業(yè)務(wù)需求、功能需求以及對(duì)應(yīng)的安全建設(shè)情況,開展針對(duì)性較強(qiáng)的測(cè)評(píng)工作。
5、測(cè)評(píng)工作內(nèi)容
等級(jí)測(cè)評(píng)內(nèi)容覆蓋組織的重要信息資產(chǎn),分為技術(shù)和管理兩大層面。技術(shù)層面主要是測(cè)評(píng)和分析在網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn),包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟硬件設(shè)備;管理層面包括從組織的人員、組織結(jié)構(gòu)、管理制度、系統(tǒng)運(yùn)行保障措施,以及其他運(yùn)行管理規(guī)范等角度,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。通過對(duì)以上各種安全威脅的分析和匯總,形成組織的安全測(cè)評(píng)報(bào)告,根據(jù)組織的安全測(cè)評(píng)報(bào)告和安全現(xiàn)狀,提出相應(yīng)的安全整改建議,指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。
