《信息系统安全等级保护定级备案测评流程概要.doc》由会员分享,可在线阅读,更多相关《信息系统安全等级保护定级备案测评流程概要.doc(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统平安等级保护法规及依据在信息系统平安等级保护定级备案、信息系统平安等级保护测评等方面测评依据如下:1、?中华人民共和国计算机信息系统平安保护条例?国务院147号令2、?信息平安等级保护管理方法?公通字200743号3、GB/T 17859-1999?计算机信息系统平安保护等级划分准那么? 4、GB/T20274?信息平安技术信息系统平安保障评估框架? 5、GB/T22081-2021?信息技术平安技术信息平安管理实用规那么? 6、GB/T20271-2006?信息系统通用平安技术要求? 7、GB/T18336-2021?信息技术平安技术信息技术平安性评估准那么? 8、GB17859-1
2、999?计算机信息系统平安保护等级划分准那么? 9、GB/T22239-2021?信息平安技术信息系统平安等级保护根本要求? 10、GB/T22240-2021?信息平安技术信息系统平安等级保护定级指南? 11、?信息平安技术信息系统平安等级保护测评要求? 12、?信息平安技术信息系统平安等级保护实施指南? 13、?信息平安等级保护管理方法? 信息系统平安等级保护定级备案流程1、定级原理信息系统平安保护等级根据等级保护相关管理文件,信息系统的平安保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家平安、社会秩序和公共利益。 第二级,信息系
3、统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家平安。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家平安造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家平安造成严重损害。 第五级,信息系统受到破坏后,会对国家平安造成特别严重损害。 信息系统平安保护等级的定级要素 信息系统的平安保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面: a) 公民、法人和其他组织的合法权
4、益; b) 社会秩序、公共利益; c) 国家平安。 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a) 造成一般损害; b) 造成严重损害; c) 造成特别严重损害。 定级要素与等级的关系 定级要素与信息系统平安保护等级的关系如下表所示。 受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级
5、第四级国家平安第三级第四级第五级2、定级流程信息系统平安包括业务信息平安和系统效劳平安,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息平安和系统效劳平安两方面确定。 从业务信息平安角度反映的信息系统平安保护等级称业务信息平安保护等级。 从系统效劳平安角度反映的信息系统平安保护等级称系统效劳平安保护等级。 确定信息系统平安保护等级的一般流程如下: a) 确定作为定级对象的信息系统; b) 确定业务信息平安受到破坏时所侵害的客体; c) 根据不同的受侵害客体,从多个方面综合评定业务信息平安被破坏对客体的侵害程度; d) 依据“业务信息平安保护等级矩阵表,得到业务信
6、息平安保护等级; e) 确定系统效劳平安受到破坏时所侵害的客体; f) 根据不同的受侵害客体,从多个方面综合评定系统效劳平安被破坏对客体的侵害程度; g) 依据“系统效劳平安保护等级矩阵表,得到系统效劳平安保护等级; h) 将业务信息平安保护等级和系统效劳平安保护等级的较高者确定为定级对象的平安保护等级。业务信息平安保护等级矩阵表业务信息平安被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家平安第三级第四级第五级系统效劳平安保护等级矩阵表系统效劳被破坏时所侵害的客体对相应客体的侵害程度一般
7、损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家平安第三级第四级第五级3、备案流程备案 ?管理方法?第十五条规定,已运营运行的第二级以上信息系统,应当在平安保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向
8、当地设区的市级以上公安机关备案。省直或省级单位信息系统向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案。 ?管理方法?第十六条规定,办理信息系统平安保护等级备案手续时,应当填写?信息系统平安等级保护备案表?,第三级以上信息系统应当同时提供以下材料: 1系统拓扑构造及说明说明可以是对系统构造的简要说明; 2系统平安组织机构和管理制度平安组织机构包括机构名称、负责人、成员、职责分工等。管理制度包括平安管理标准、章程等; 3系统平安保护设施设计实施方案或者改建实施方案简要的平安建立、整改方案; 4系统使用的信息平安产品清单及其认证、销
9、售许可证明主要信息平安产品的清单,确认有认证、销售许可标记; 5测评后符合系统平安保护等级的技术检测评估报告最近一次测评的简要的等级测评报告; 6信息系统平安保护等级专家评审意见评审意见表,附专家名单; 7主管部门审核批准信息系统平安保护等级的意见审批表,领导审 批签字、盖章。备案审核 ?管理方法?第十七条规定,信息系统备案后,公安机关应当对信息系统的备案情况进展审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统平安等级保护备案证明;发现不符合本方法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起
10、的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本方法向公安机关重新备案。信息系统等级保护测评简要流程1、等级测评过程等级测评过程分为测评准备、方案编制、现场测评、报告编制、平安整改五个阶段。测评双方之间的沟通与洽谈将贯穿整个等级测评过程。2、阶段性实施方案2.1、测评准备:工程启动:l 确定测评机构四川省信息系统工程测评中心 联系人:冯丽、 李俊 ;l 签订测评合同和测评保密协议;l 填报信息系统根本情况调查表格;l 准备测评所需资料:总体描述文件、详细描述文件、定级报告、自查报告和等级测评报告如果曾做过的话,以及平安需求分析报告、平安总体
11、方案、系统验收报告等信息系统设计和建立过程的文档。2.2、方案编制测评机构实施: 1) 测评对象及测评指标确定测评对象确定:l 识别被测系统等级;l 识别被测系统的整体构造;l 识别被测系统的边界;l 识别被测系统的网络区域;l 识别被测系统的重点节点和业务应用;l 确定测评对象。测评指标确定:l 识别被测系统业务信息和系统效劳平安保护等级;l 选择对应等级的ASG三类平安要求作为测评指标;l 就高原那么调整多个定级对象共用的某些物理平安或管理平安测评指标。2) 测评内容确定l 识别每个测评对象对应的测评指标;l 识别每个测评对象对应的每个测评指标的测评方法。3) 工具测试方法确定l 确定工具
12、测试的测评对象;l 选择测试路径;l 确定测试工具的接入点。4) 测评指导书开发l 从已有的测评指导书中选择与测评对象对应的手册;l 针对没有现成测评指导书的测评对象,开发新的测评指导书。5) 测评方案编制l 描述测评工程根本情况和工作依据;l 描述被测系统的整体构造、边界和网络区域;l 描述被测系统重要节点和业务应用;l 描述测评指标;l 描述测评对象;l 描述测评内容、方法和工具;l 人员安排与进度方案。2.3、现场测评: 1) 现场测评准备:l 现场测评授权书签署;l 召开现场测评启动会;l 双方确认测评方案;l 双方确认配合人员、环境等资源;l 确认信息系统已经备份。2) 结果确认和资
13、料归还l 召开现场测评完毕会;l 确认测评过程中获取的证据和资料的正确性,并签字认可;l 测评人员归还借阅的各种资料。2.4、报告编制测评机构实施: 1、单项测评结果判定分析测评项所对抗威胁的存在情况;分析单个测评项是否有多方面的要求内容,依据“优势证据法选择优势证据,并将优势证据与预期测评结果相比拟;综合判定单个测评项的测评结果。2、单元测评结果判定汇总每个测评对象在每个测评单元的单项测评结果;判定每个测评对象的单元测评结果。3、整体测评分析不符合和局部符合的测评项与其他测评项包括单元内、层面间、区域间之间的关联关系及对结果的影响情况。4、风险分析整体测评后的单元测评结果再次汇总;分析局部符合项或不符合项所产生的平安问题被威胁利用的可能性;分析威胁利用平安问题后造成的影响程度;按照测评单位选定的风险分析方法对被测系统面临的平安风险进展赋值;评价风险分析结果。5、等级测评结论形成统计再次汇总后的单元测评结果为局部符合和不符合项的项数;形成等级测评结论。6、测评报告编制概述测评工程情况;描述被测系统情况;描述测评范围和方法;描述单元测评情况;描述整体测评情况;汇总测评结果;描述风险情况;给出等级测评结论和整改建议。2.5、平安整改:根据测评机构提交的整改建议报告,对被测信息系统实施平安整改加固工作。