1、黑龍江等保定級報告和備案表
信息安全等級保護工作的第一個環(huán)節(jié)是系統(tǒng)定級���。對信息系統(tǒng)進行定級是等級保護工作的基礎����,信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全���、經(jīng)濟建設�、社會生活中的重要程度�,信息系統(tǒng)遭到破壞后對國家安全、社會秩序���、公共利益以及公民�、法人和其他組織的合法權益的危害程度等因素確定��。定級工作流程是確定定級對象�����、確定信息系統(tǒng)安全等級保護等級�、組織專家評審�、主管部門審批�����、公安機關審核����。信息系統(tǒng)定級以后���,應到所在地區(qū)地市級上公安機關辦理備案手續(xù)�,備案工作的流程是信息系統(tǒng)備案��、受理�����、審核和備案信息管理等�����。
1)協(xié)助定級
對系統(tǒng)情況進行分析���,通過分析系統(tǒng)所屬類型����、所屬信息類別、服務范圍�,了解系統(tǒng)的可用性、完整性���、保密性需求�����,清晰確定保護對象���,確定受侵害的客體、確定客體受侵害的程度�,最終確定系統(tǒng)的系統(tǒng)服務保護等級和業(yè)務信息保護等級,協(xié)助用戶編制定級報告�����。
2)協(xié)助備案
協(xié)助用戶填寫《信息系統(tǒng)安全等級保護備案表》����,協(xié)助用戶到各地公安機關進行系統(tǒng)備案,獲得系統(tǒng)備案證明���。
2�、黑龍江等保測評
2.1 項目簡介
根據(jù)公安部出臺的有關等級保護的政策,對信息系統(tǒng)的等級保護已經(jīng)是國家的一項基本國策和信息安全的基本保障����,同時等級保護工作的開展也是各行各業(yè)信息化建設的內(nèi)在需求。
隨著信息化的不斷發(fā)展�����,信息系統(tǒng)的應用為信息化的開展提供了重要的支撐平臺��,關鍵流程�、重要數(shù)據(jù)的處理都依賴于信息系統(tǒng)�,因而信息化建設、信息安全建設工作受到XXXX集團有限公司各級領導的高度重視�。等級保護政策作為國家在信息系統(tǒng)信息安全上的一項重要決策,信息化建設工作和信息安全工作貫穿XXXX集團有限公司的關鍵業(yè)務中�。等級保護工作受到了XXXX集團有限公司各級領導的高度重視����,安全建設也逐漸成為公司信息化建設的內(nèi)在需求��。
整個測評項目的實施主要分為現(xiàn)場測評和復測評����,其中現(xiàn)場測評分為四個階段:一、測評準備活動階段�,二、方案編制活動階段�����,三���、現(xiàn)場測評活動階段�,四��、分析和報告編制活動階段����;復測評分為三個階段:一、安全整改活動階段���,二復測評活動階段�����,三�����,分析和報告編制活動階段���。
其測評目的在于對XXXX集團有限公司信息系統(tǒng)當前安全防護能力做出客觀評價���。通過對物理安全、網(wǎng)絡安全���、主機系統(tǒng)安全��、應用安全����、數(shù)據(jù)安全及備份恢復�、安全管理機構�����、安全管理制度���、人員安全管理�、系統(tǒng)建設管理、系統(tǒng)運維管理����、滲透測試等方面的安全檢查,以國家信息安全等級保護基本要求作為安全基線���,進行客觀符合性判定����,進一步衡量當前系統(tǒng)的安全防護能力���,以及系統(tǒng)所面臨的威脅和風險所在�,為將來的安全整改和安全建設提供有力依據(jù)��。
2.2 黑龍江等保項目依據(jù)
本項目的測評按照以下標準或規(guī)范進行:
關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知(公信安[2007]861號)����;
關于印發(fā)《信息安全等級保護管理辦法》的通知(公通字[2007]43號);
關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知(湘公通[2007]94號)���;
關于進一步推進全省信息安全等級保護工作的函(湘公函[2011]21號)��;
關于對全省重要信息系統(tǒng)開展信息安全等級保護專項檢查工作的函(湘公函[2011]74號)�����;
《信息系統(tǒng)安全等級保護定級指南》(GB/T22240—2020)�����;
《信息系統(tǒng)安全等級保護測評過程指南》(國標報批稿)��;
主要測評依據(jù):
《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2019)���;
《信息安全技術信息系統(tǒng)安全等級保護測評要求》(GB/T 28448-2019)��。
3��、系統(tǒng)構成
等保測評系統(tǒng)�,主要是由業(yè)務應用軟件�、關鍵數(shù)據(jù)類別、主機/存儲設備�����、網(wǎng)絡���、安全設備��、安全相關人員�����、安全管理文檔(制度類�、證據(jù)類����、記錄類)組成。
4����、測評工具
漏洞掃描工具:啟明、安恒���、綠盟掃描器
滲透測試工具:包括SQLmap��,Burpsuite�����,RouterScan����,Apache Tomcat Scan等。
5����、測評實施
訪談安全主管,了解信息系統(tǒng)的整個定級過程和信息系統(tǒng)的報批過程����。了解安全方案的整個設計過程和安全建設總體規(guī)劃情況、產(chǎn)品采購流程��、保證系統(tǒng)自主開發(fā)軟件和外包開發(fā)軟件安全的相關情況�����。了解負責工程實施過程�、測試驗收、系統(tǒng)交付的管理人員或管理部門�,對工程實施、測試驗收��、系統(tǒng)交付過程的進度和質(zhì)量控制的方法和措施����、測試驗收方案的制定情況��、對系統(tǒng)進行安全測試的機構、驗收結果的審定情況���,是否根據(jù)交付清單對所交接的設備�����、文檔��、軟件等進行清點����,系統(tǒng)建設實施方對運維技術人員進行了哪些培訓����。了解系統(tǒng)備案的情況和為其提供服務的信息系統(tǒng)安全服務商的有關情況。
收集并查看產(chǎn)品采購�、軟件開發(fā)、工程實施���、測試驗收和系統(tǒng)交付過程的管理制度��,查看系統(tǒng)定級文檔是否有信息系統(tǒng)劃分的方法和理由���、定級方法和理由的描述��、專家對定級結果的論證意見和有相關部門或主管部門的批準意見��。查看安全方案內(nèi)容是否包括總體安全策略�����、安全技術框架�、安全管理策略����、詳細設計內(nèi)容等方面。檢查是否有安全建設的工作計劃書�����、代碼編寫規(guī)范�、開發(fā)文檔、軟件設計文檔���、使用指南�����、軟件測試驗收文檔�����、軟件需求分析說明書����、軟件設計說明書�、軟件操作手冊、工程實施方案�、安全測試報告、測試驗收方案����、測試驗收報告、系統(tǒng)交付清單�、安全服務商的相關服務協(xié)議或合同。
6���、測評結果
《XXXX集團有限公司信息系統(tǒng)等級保護測評報告》
《XXXX集團有限公司信息系統(tǒng)安全整改方案》
黑龍江等保測評
等保咨詢熱線:15084670000,15124562202
