成人国产精品久久久免费,被cao的合不拢腿的皇后

等級保護(hù)咨詢及評估

服務(wù)概述
政策依據(jù)
技術(shù)標(biāo)準(zhǔn)
測評過程
測評方法

服務(wù)概述

信息系統(tǒng)安全等級保護(hù)測評是指測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對未涉及國家秘密的信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。等級保護(hù)測評是標(biāo)準(zhǔn)符合性評判活動，即依據(jù)信息安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按特定方法對信息系統(tǒng)安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評判過程。

政策依據(jù)

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（[1994]國務(wù)院令第147號）

《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）

《信息安全等級保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號）

《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公通字[2007]861號）

《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）

《關(guān)于開展信息系統(tǒng)等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）

《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》（公信安[2010]303號

技術(shù)標(biāo)準(zhǔn)

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》

GB/T 28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》

GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》

GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分標(biāo)準(zhǔn)》

GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》

GB/T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評評估技術(shù)指南》

測評過程

等級測評過程分為四個測評階段：

測評準(zhǔn)備、方案編制、現(xiàn)場測評及分析和報(bào)告編制測評雙方之間的溝通與洽談貫穿整個等級測評過程

測評準(zhǔn)備
本階段是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本階段的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，為實(shí)施測評做好文檔及測試工具等方面的準(zhǔn)備。
方案編制
本階段是開展等級測評工作的關(guān)鍵，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本階段的主要任務(wù)是開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評內(nèi)容、測評實(shí)施手冊等，形成測評方案。
現(xiàn)場測評
本階段是開展等級測評工作的核心活動。主要任務(wù)是依據(jù)測評方案的總體要求，嚴(yán)格執(zhí)行測評實(shí)施手冊，分步實(shí)施所有測評項(xiàng)目，包括單項(xiàng)測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。
分析與報(bào)告編制
本階段是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評價(jià)活動。本階段的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和GB/T 22239-2019的有關(guān)要求，通過單項(xiàng)測評結(jié)果判定和系統(tǒng)整體測評分析等方法，分析整個系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，綜合評價(jià)被測信息系統(tǒng)保護(hù)狀況，并形成測評報(bào)告文本。

測評方法

測評方法一般包括訪談、文檔審查、配置檢查、工具測試和實(shí)地察看五個方面

訪談
測評人員與被測系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。
文檔審查
1）檢查GB/T 22239-2019中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。
2）檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。
3）對上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。
配置檢查
1）根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等）。
2）如果系統(tǒng)在輸入無效命令時不能完成其功能，將要對其進(jìn)行錯誤測試。
3）針對網(wǎng)絡(luò)連接，應(yīng)對連接規(guī)則進(jìn)行驗(yàn)證。
工具測試
1）根據(jù)測評方案，利用技術(shù)工具對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。
2）備份測試結(jié)果。
實(shí)地察看
1）根據(jù)被測系統(tǒng)的實(shí)際情況，測評人員到系統(tǒng)運(yùn)行現(xiàn)場通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級的安全要求。