哈爾濱等級測評標(biāo)準(zhǔn)體系
哈爾濱等保標(biāo)準(zhǔn):
GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》
GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》
GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》
GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》
GB∕T 28449-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》
GB∕T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》
其它產(chǎn)品類標(biāo)準(zhǔn)(略)
哈爾濱等保對象定級與備案
涉及到運(yùn)營���、使用單位�����、主管部門��、公安機(jī)關(guān)��。
主管部門從行業(yè)特征��、業(yè)務(wù)覆蓋范圍����、主要承擔(dān)的社會(huì)功能/職能和生產(chǎn)產(chǎn)值等方面梳理所有業(yè)務(wù)情況。
運(yùn)營����、使用單位針對每個(gè)業(yè)務(wù),依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)定級指南》標(biāo)準(zhǔn)�����,根據(jù)業(yè)務(wù)信息重要性和系統(tǒng)服務(wù)重要性分析其安全保護(hù)要求�,形成針對主要業(yè)務(wù)的行業(yè)/領(lǐng)域定級指導(dǎo)意見�����。
運(yùn)營��、使用單位到主管部門審核�����、批準(zhǔn)��,報(bào)公安機(jī)關(guān)備案審查����。
哈爾濱等保總體安全規(guī)劃
涉及到的角色主要是運(yùn)營����、使用單位和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)����。該項(xiàng)工作可以由運(yùn)營、使用單位獨(dú)立完成�。也可以由網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)協(xié)助運(yùn)營、使用單位完成�����。
1.定需求�����。由于等級已確定��,因此應(yīng)對照相應(yīng)等級選擇相應(yīng)的要求項(xiàng)作為安全保護(hù)需求����。
還要注意系統(tǒng)的特殊安全需求。就是針對等保對象中的重要部件�����,分析其面臨的威脅,確定需要優(yōu)先實(shí)現(xiàn)的除基本安全保護(hù)需求之外的特殊安全保護(hù)要求����。
2.定安全保障戰(zhàn)略及方針
3.定安全目標(biāo),制定安全策略
4.規(guī)劃技術(shù)體系架構(gòu)和安全管理體系架構(gòu)���,技術(shù)體系架構(gòu)設(shè)計(jì)時(shí)應(yīng)重點(diǎn)關(guān)注不同等級定級對象之間互聯(lián)時(shí)的安全防護(hù)策略
哈爾濱等保安全設(shè)計(jì)與實(shí)施
根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將等級保護(hù)對象安全總體方案中要求實(shí)現(xiàn)的安全策略����、安全技術(shù)體系結(jié)構(gòu)�、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上�,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔����,使得在網(wǎng)絡(luò)安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)。
哈爾濱等保安全技術(shù)體系設(shè)計(jì)與實(shí)施:
1.依據(jù)安全需求進(jìn)行總體網(wǎng)絡(luò)結(jié)構(gòu)框架的設(shè)計(jì)
2.進(jìn)行安全功能要求和性能要求的設(shè)計(jì)
3.結(jié)合當(dāng)前等級保護(hù)對象網(wǎng)絡(luò)拓?fù)錁?gòu)����、設(shè)計(jì)最新的部署方案
4.選購設(shè)備組件,并對相關(guān)組件實(shí)施安全配置
注意:沒有產(chǎn)品能夠?qū)崿F(xiàn)安全措施或需求的時(shí)候�,需要專門設(shè)計(jì)����、開發(fā)��。
5.將不同的軟硬件產(chǎn)品進(jìn)行集成�����,綜合�、整合成為一個(gè)系統(tǒng)。
安全管理體系設(shè)計(jì)與實(shí)施:從組織機(jī)構(gòu)�����、人員���、文檔及建設(shè)過程管理等方面來考慮�。
1.組織機(jī)構(gòu)與人員方面:網(wǎng)絡(luò)安全管理機(jī)構(gòu)和人員�����、網(wǎng)絡(luò)安全維護(hù)隊(duì)伍���、網(wǎng)絡(luò)安全專家隊(duì)伍���、網(wǎng)絡(luò)安全檢查評估審計(jì)隊(duì)伍
2.文檔方面:高層策略文件���、各類管理制度、具體操作規(guī)程和各類操作記錄稱為四層塔式管理文件體系����。
3.安全建設(shè)過程管理:項(xiàng)目實(shí)施過程中的一些管理控制要求的實(shí)施。
哈爾濱等保安全運(yùn)行與維護(hù)
包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立���,環(huán)境����、資產(chǎn)���、設(shè)備����、介質(zhì)的管理�����,網(wǎng)絡(luò)�����、系統(tǒng)的管理�����,密碼����、密鑰的管理,運(yùn)行�、變更的管理,安全狀態(tài)監(jiān)控和安全事件處置�,安全審計(jì)和安全檢查等內(nèi)容。
運(yùn)營�、使用單位還應(yīng)該做好在異常狀態(tài)下的應(yīng)急和保障工作。
應(yīng)針對不同等級不同類別的安全事件制定相應(yīng)的應(yīng)急預(yù)案�����,應(yīng)急預(yù)案應(yīng)盡量覆蓋不同的安全事件����,流程詳細(xì)可操作。
哈爾濱等保等級保護(hù)對象
等級保護(hù)對象定義為:“網(wǎng)絡(luò)安全等級保護(hù)工作直接作用的對象���,包括信息系統(tǒng)�����、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源”����。
通信網(wǎng)絡(luò)設(shè)施是指為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施��,典型對象包括電信網(wǎng)�、廣播電視傳輸網(wǎng),以及行業(yè)或單位的跨省專用網(wǎng)(骨干部分)等�����;
信息系統(tǒng)是指由計(jì)算機(jī)或其他信息終端及相關(guān)設(shè)備組成的�����,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集���、加工、存儲(chǔ)�����、傳輸、檢索等處理的系統(tǒng)�,典型對象即包括辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)等傳統(tǒng)計(jì)算機(jī)信息系統(tǒng)�����,也包括工業(yè)控制系統(tǒng)����、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)以及使用移動(dòng)互聯(lián)技術(shù)的信息系統(tǒng)等融合了新技術(shù)新應(yīng)用的新型等級保護(hù)對象�����;
而數(shù)據(jù)資源的典型例子是大數(shù)據(jù)���。
哈爾濱等保安全保護(hù)等級
五級���,根據(jù)等保對象(就是3.2.1中的三個(gè)東西)在國家安全、經(jīng)濟(jì)建設(shè)����、社會(huì)生活中的重要程度����,以及一旦遭到破壞�����、喪失功能或者數(shù)據(jù)被篡改��、泄露�、丟失、損毀后��,對國家安全���、社會(huì)秩序�����、公共利益以及公民��、法人和其他組織的合法權(quán)益的侵害程度等因素來確定等級��。
哈爾濱等保定級要素
定級要素有兩個(gè):“受侵害的客體”和“對客體的侵害程度”���。
受侵害的客體可能是以下三者之一或者組合:
a)公民、法人和其他組織的合法權(quán)益����;
b)社會(huì)秩序、公共利益�;
c)國家安全。
對客體的侵害程度歸結(jié)為以下三種:
a)造成一般損害�����;
b)造成嚴(yán)重?fù)p害�;
c)造成特別嚴(yán)重?fù)p害。
哈爾濱等保受侵害的客體
根據(jù)《中華人和國國家安全法》侵害國家安全的事項(xiàng)主要包括以下方面:
——影響國家政權(quán)穩(wěn)固同和領(lǐng)土主權(quán)��,海洋權(quán)益完整
——影響國家統(tǒng)統(tǒng)一��、民族團(tuán)結(jié)和社會(huì)穩(wěn)定�;
——影響國家社會(huì)主義市場經(jīng)濟(jì)秩序和文化實(shí)力;
——其他影響國家安全的事項(xiàng)����。
根據(jù)《中華人民共和國治安管理處罰法》,侵害社會(huì)秩序的事項(xiàng)主要包括以下方面:
——影響國家機(jī)關(guān)�����、企事業(yè)單位、社會(huì)團(tuán)體的生產(chǎn)秩序�、經(jīng)營秩序、教學(xué)科研秩序����、醫(yī)療衛(wèi)生秩序;
——影響公共場所的活動(dòng)秩序����、公共交通秩序;
——影響人民群眾的生活秩序�����;
——其他影響社會(huì)秩序的事項(xiàng)��。
公共利益通常是指不特定的社會(huì)成員所享有的���,受法律法規(guī)保護(hù)的長遠(yuǎn)利益�����,侵害公共利益的事項(xiàng)主要包括以下方面:
——影響社會(huì)成員使用公共設(shè)施�;
——影響社會(huì)成員獲取公開信息資源;
——影響社會(huì)成員接受公共服務(wù)等方面����;
——其他影響公共利益的事項(xiàng)。
公民��、法人和其他組織的合法權(quán)益是指受法律保護(hù)的公民����、法人和其他組織所享有的社會(huì)權(quán)利和利益等�,如財(cái)產(chǎn)、企業(yè)信譽(yù)和個(gè)人名譽(yù)等�。
黑龍江等保測評
等保咨詢熱線:15084670000,15124562202
