等级保护测评
关键词:等级保护;测评;信息安全;管理
研究和探讨如何有效地管理等级保护测评机构,以确保测评机构
管理和技术能力得到不断提升,保证测评机构在等级测评上的独立
性、公正性和合规性,并对促进等级测评的顺利开展提出改善方向
和意见。
信息安全等级保护作为国家信息安全工作的一项基本制度、基本
国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识
到等级保护制度的重要性。在我国信息安全等级保护制度中,等级
保护分五个工作环节——定级、备案、建设整改、等级测评和监督
检查。其中,等级测评是等级测评机构依据国家信息安全等级保护
制度规定,受有关单位委托,按照有关管理规范和技术标准,对非
涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是
信息安全等级保护工作的重要环节。
随着等级保护工作的不断推进,等级测评机构的体系建设也在不
断深入,全国等级测评机构的数量在不断增加,测评机构的品质和
能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将
不断出现。因此,加强对等级测评机构的合理、有效监管,对提升
测评行业质量,保证测评数据公正、客观,以及保障重点行业的重
…… …… 余下全文
有关等级保护现场测评时的一些体会
现场测评是开展等保保护测评一项重要工作过程,目的是跟客户当面沟通,现场检查,获取系统真实安全信息,查找安全问题。
很多同事,尤其是刚参加现场测评的,总感觉难度很大,碰到现场一些问题,不好处理,工作起来顾虑重重,畏手畏脚,总觉得咱是去做服务的,低人一等。
总结来说,现场测评时经常遇到的问题主要有:
一、 客户不愿意配合,可能真是是对方很忙,没时间;
二、 对等保测评工作轻视,认为是走过程,没啥用;怕被发现
有问题被领导批评;
三、 认为我们技术水平不行,弄不出个啥来;
四、 担心把我们系统号坏了,出啥问题了。
针对现场中可能遇到的上述这些问题,其中几点我觉的可以从以下两个个方面来应对。
一是,要抱着一种我们是去提供服务的心态去测评,是去帮助他们查找问题,解决问题,防范安全风险的。
二是,要处处为对方着想,站在对方得角度去想事情。不管是跟对方交流还是做事,你只要表现的是为他好为他想,我想,是没有人不会不愿意的。
举例,某被测评公司的人,公司驻场的同事都觉得很可恶,比较难对付,尤其是一个管事的叫xx的家伙,我去现场也多听到其他公
司驻场人员的不满、诉说和抱怨,当时我因为当天工作上要找这个XX沟通,我通过电话事先联系他,在电话中我就一直把他当做领导(实际是小兵一个),始终是说要跟他当面汇报工作,捧着他,我想没有人不享受这种尊重和得意。
…… …… 余下全文
1 信息安全等级测评师测试
一、单选题(14分)
1、下列不属于网络安全测试范畴的是( C )
A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护
2、下列关于安全审计的内容说法中错误的是( D )。
A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。
B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。
C. 应能根据记录数据进行分析,并生成报表。
D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。
3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个。( A )
A. exec-timeout 10 0 B. exec-timeout 0 10
B. C. idle-timeout 10 0 D. idle-timeout 0 10
4、用于发现攻击目标。( A )
A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描
…… …… 余下全文
《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
…… …… 余下全文
附件:《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
…… …… 余下全文
附件1:《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
…… …… 余下全文
附件1:《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
http://www.mps.gov.cn/n16/n1966474/n1966510/2156114.html四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
…… …… 余下全文