1、定级备案
定级-等保一共5级,1-5级,1级Zui低,5级Zui高,需要组织专家评审确定定级范围,非客户自己想定几级就定几级,专家评审后会输出专家评审报告
备案,我们会协助客户完成定级备案的相关材料,结合专家评审报告提交给公安,资料没有问题的情况下,广东省内会先发备案证,要求企业在限期内进行测评和完成整改,提交测评报告给到公安。(非广东省地区一般先发备案号,待测评通过,提交测评报告后再发备案证)
2、测评(初测)
客户拿到备案证或备案号后,测评机构才能进场给客户实施测评,初测会收集客户平台系统的基础信息,现场进行一次初测,然后会出具差距报告,报告中会告知客户需要整改的等保合规控制项,需要客户按差距报告中的建议进行整改。
3、整改
客户按照差距报告中的内容进行整改,涉及技术和管理两个层面,技术层面通过安全产品和修改程序代码、安全配置等解决,管理层面需要制定相关的安全制度、记录文件等满足等保的合规要求。
4、测评(验收测试、出具测评报告)
当客户完成合规整改能达到合格标准后,测评机构会组织一次验收测试,验收通过则会输出合格的测评报告给到客户,由客户提交给公安,公安收到确认没有问题的情况下,会给客户出具回执,完成当年的等保测评工作。
网络安全等级测评基本概念
01
基本概念
网络安全等级保护测评(简称“等级测评”)
指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构是指具备本规范的基本条件
经能力评估和审核,由网络安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
网络安全等级保护测评的目的和作用
02
目的和作用
目的:
通过进行网络安全等级保护测评活动,对系统安全防护体系能力进行分析与确认;发现存在的安全隐患;使运营使用单位认识不足,及时改进;有效提网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。
作用:
① 掌握系统的安全状况、排查系统安全隐患和薄弱环节、明确系统安全建设整改需求。
② 衡量系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
网络安全等级保护评测政策、标准依据
03
标准依据
《网络安全等级保护管理办法》第十四条规定:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》标准,定期对系统安全等级状况开展等级测评工作。
▪《信息安全技术 网络安全等级保护测评过程指南》GB∕T 28449-2018
▪《信息安全技术 网络安全等级保护基本要求》GB∕T 22239-2019
▪《信息安全技术 网络安全等级保护测评要求》GB∕T 28448-2019
测评机构依据《管理办法》、《测评过程指南》、《基本要求》、《测评要求》等标准进行等级保护测评。
《基本要求》阐述了等级测评工作的目标和内容,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。
网络安全等级保护评测工作内容
04
工作内容
网络安全等级保护测评内容覆盖组织的重要信息资产,分为技术和管理。
技术主要是测评和分析在网络和主机上存在的安全技术风险,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等要求.
管理从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的缺陷。
对以上各种威胁的分析,形成安全测评报告,根据测评报告和安全现状,提出相应的安全整改建议,指导下一步的网络安全建设。
网络安全等级保护评测的风险介绍
05
风险介绍
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容,需要上机验证并查看一些信息.
可能对系统运行造成影响,甚至存在操作失误的可能;
使用测试工具进行漏洞扫描、性能测试及渗透测试等时
可能会对网络的系统的负载造成影响
渗透攻击测试还可能影响到服务器和系统的正常运行,渗透过程中用到的测试工具未清理或清理不彻底,或者测试者电脑中带有木马程序,存在植入木马的风险;
测评人员有意或无意泄露被测系统状态信息.
存在信息泄露的风险。
网络安全等级保护评测的风险规避措施
06
规避措施
签署委托测评协议
在测试正式开始前,测评和被测评单位需要已委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的问题达成共识。
签署保密协议
测评相关方应签署合乎法律规范的保密协议,保密协议规定了测评相关方保密方面的权利和义务。
现场测评风险规避
现场测评之前,签署现场测评授权书,要求被测方对系统及数据进行备份,并对可能出现的事件制定应急处理方案;
进行验证测试和工具测试时,避开业务高峰期,或是在与生产环境一致的模拟环境中进行;上机验证测试由测评人员指出需要验证的内容,系统运营技术人员进行实际操作。
测评现场还原
测评完成后,测试人员将测评过程中的所有权限交回,把测评过程中借阅的相关资料文档归还,恢复至测评前状态。
等级保护好处:
1、能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。
2、有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
3、有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。
4、有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。
5、有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。