掃一(yī)掃,查看點石網絡微信公衆号

關于信息安全等保測評,你不得不知道(dào)的(de)內(nèi)容!

來源:安全前沿 | 作者: | 日期:2021-12-09 14:39:07 | 閱讀: 5107

       信息安全等保測評全稱是信息安全等級保護測評,是經公安部認證的(de)具有資質的(de)測評機構,依據國家信息安全等級保護規範規定,受有關單位委托,按照有關管理(lǐ)規範和(hé)技術标準,對信息系統安全等級保護狀況進行檢測評估的(de)活動。

1639031635470828.jpg

對信息系統安全等級保護狀況進行測試評估,應包括兩個方面的(de)內(nèi)容

1、安全控制測評主要測評信息安全等級保護要求的(de)基本安全控制在信息系統中的(de)實施配置情況;‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍2、系統整體測評主要測評分析信息系統的(de)整體安全性。其中,安全控制測評是信息系統整體安全測評的(de)基礎。對安全控制測評的(de)描述,使用測評單元方式組織。

測評單元分為(wèi)安全技術測評和(hé)安全管理(lǐ)測評兩大類

1、安全技術測評:包括物理(lǐ)安全、網絡安全、主機系統安全、應用安全和(hé)數據安全等五個層面上的(de)安全控制測評。

2、安全管理(lǐ)測評:包括安全管理(lǐ)機構、安全管理(lǐ)制度、人員安全管理(lǐ)、系統建設管理(lǐ)和(hé)系統運維管理(lǐ)等五個方面的(de)安全控制測評。

信息系統全生命周期

信息系統全生命周期分為(wèi)“信息系統定級、總體安全規劃、安全設計與實施、安全運行維護、信息系統終止”等五個階段。

信息系統定級

定級備案是信息安全等級保護的(de)首要環節。信息系統定級工作應按照“自(zì)主定級、專家評審、主管部門審批、公安機關審核”的(de)原則進行。在等級保護工作中,信息系統運營使用單位和(hé)主管部門按照“誰主管誰負責,誰運營誰負責”的(de)原則開展工作,并接受信息安全監管部門對開展等級保護工作的(de)監管。

總體安全規劃

總體安全規劃階段的(de)目标是根據信息系統的(de)劃分情況、信息系統的(de)定級情況、信息系統承載業務情況,通過分析明确信息系統安全需求,設計合理(lǐ)的(de)、滿足等級保護要求的(de)總體安全方案,并制定出安全實施計劃,以指導後續的(de)信息系統安全建設工程實施。對于已運營(運行)的(de)信息系統,需求分析應當首先分析判斷信息系統的(de)安全保護現狀與等級保護要求之間的(de)差距。

安全設計與實施

安全設計與實施階段的(de)目标是按照信息系統安全總體方案的(de)要求,結合信息系統安全建設項目計劃,分期分步落實安全措施。

安全運行維護

安全運行與維護是等級保護實施過程中确保信息系統正常運行的(de)必要環節,涉及的(de)內(nèi)容較多,包括安全運行與維護機構和(hé)安全運行與維護機制的(de)建立,環境、資産、設備、介質的(de)管理(lǐ),網絡、系統的(de)管理(lǐ),密碼、密鑰的(de)管理(lǐ),運行、變更的(de)管理(lǐ),安全狀态監控和(hé)安全事件處置,安全審計和(hé)安全檢查等內(nèi)容。本标準并不對上述所有的(de)管理(lǐ)過程進行描述,希望全面了解和(hé)控制安全運行與維護階段各類過程的(de)本标準使用者可(kě)以參見其它标準或指南。

信息系統終止

信息系統終止階段是等級保護測評實施過程中的(de)最後環節。當信息系統被轉移、終止或廢棄時,正确處理(lǐ)系統內(nèi)的(de)敏感信息對于确保機構信息資産的(de)安全是至關重要的(de)。

在信息系統生命周期中,有些系統并不是真正意義上的(de)廢棄,而是改進技術或轉變業務到新的(de)信息系統,對于這些信息系統在終止處理(lǐ)過程中應确保信息轉移、設備遷移和(hé)介質銷毀等方面的(de)安全。





文章(zhāng)圖片來源于網絡,僅供交流學(xué)習,版權歸原作者所有,如(rú)有侵權,請聯系删除,謝謝!

微信公衆号

手機版

蘭州聚哪說網絡科技有限公司 版權所有     ©2018-2024