| |
|
<![CDATA[<menu id="guoca"></menu>]]>|
|
<![CDATA[<xmp id="guoca">]]>|
|
|
| |
|
|
|
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
|
|
| |
| |
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
等級保護如何評定
點贊0
收藏0
發現錯別字
舉報
2年前 提問
亚洲 欧美 自拍 唯美 另类
準備階段
項目啟動
· 組建評測項目組。
· 編制項目計劃書。
信息收集分析
· 查閱定級報告、系統描述文件、系統安全設計方案、自查或上次等級測評報告(如果做過資產或等級測評)等資料。
· 根據查閱到的系統情況調整調查表內容。
工具和表單準備
· 調試測評工具。
· 模擬被測系統搭建測評環境。
· 模擬測評。
方案編制階段
測評對象的確定
· 識別被測系統等級。
· 識別被測系統的整體結構。
· 識別被測系統的邊界。
測評指標確定
· 識別被測系統業務信息和系統服務安全保護等級。
· 選擇對應等級的ASG三類安全要求作為測評指標。
注:ASG
A:保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求;–電力供應、資源控制、軟件容錯等。
S:保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權修改的信息安全類要求;–物理訪問控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等。
測試工具接入點確定
· 在測評中,需要使用測試工具進行測試,測試工具可能用到漏洞掃描器、滲透測試工具集、協議分析儀等。
· 確定需要進行測試的測評對象。
· 選擇測試路徑。
測評指導書開發
測評指導書是具體指導測評人員如何進行測評活動的文檔,是現場測評的工具、方法和操作步驟等的詳細描述,是保證測評活動規范的根本。可從已有的測評指導書中選取與測評對象對應的手冊。
測評方案編制
測試方案是等級測評工作實施的基礎,指導等級測評工作的現場實施活動。測評方案應該包括但不局限于:項目概述、測評對象、測評指標、測評內容、測評方法等。
現場評測階段
現場評測階段通過與評測委托單位進行溝通和協調,為現場測評的順利開展打下良好基礎,依據測評方案實施現場測評工作,將測評方案和測評方法等內容具體落實到現場測評活動中。現場測評工作應取得報告編制活動所需的、足夠的證據和資料。
現場評測準備
· 測評委托單位對風險告知書簽字確認,了解測評過程中存在的安全風險,做好相應的應急和備份工作。
· 召開測評現場啟動會,測評機構介紹現場測評工作安排,雙方對測評計劃和測評方案中的測評內容和方法進行溝通。
現場評測和結果記錄
· 依據測評指導書實施測評。
· 記錄測評獲取的證據、資料等信息。
實施測評
訪談
檢查
測試
結果確認和資料歸還
報告編制階段
在現場測評工作結束后,測評機構應對現場測評獲得的測評結果進行匯總分析,形成等級測評結論,并編制測評報告。
單項測評結果判定
單元測評結果判定
匯總每個測評對象在每個測評單元的單項測評結果。
判定每個測評對象的單元測評結果。
整體測評
分析不符合和部分符合的測評項與其他測評項(包括單元內、層面間、區域間)之間的關聯關系及對結果的影響情況。
風險分析
判斷整體評測后的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用的可能性(取值范圍為高、中、低)。
判斷整體測評后的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用后,對被測信息系統的業務信息安全和系統服務安全造成的影響程度,影響程度取值范圍為高、中、低。
結合上兩步結果,對評測信息系統面臨的安全風險進行賦值,風險值的取值范圍為高、中、低。
結合被測信息系統的安全保護等級和對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。
等級測評結論形成
統計再次匯總后的單項測評結果為部分符合和不符合項的項數,形成等級測評結論。
測評報告編制
測評報告應包括:測評項目概述、被測信息系統情況、等級測評范圍和方法、單元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、安全建設整改建議等。
回答所涉及的環境:聯想天逸510S、Windows 10。