等级保护测评讲解.ppt

广东计安信息网络培训中心信息安全等级保护测评讲师:傅欲华目录?第一部分等级保护测评基础?第二部分等级保护测评要求?第三部分等级保护测评项目管理?第四部分等级保护测评探讨第一部分等级保护测评基础(1)国家和广东省对测评机构的要求回顾(2)测评和测评机构的概念(3)等级保护测评方法和技术(4)等级保护标准体系当前的信息安全等级保护有关法规?《信息安全等级保护管理办法》(公通字[2007]43 号) ?广东省计算机信息系统安全保护条例?广东省公安厅关于计算机信息系统安全保护的实施办法?关于贯彻《广东省计算机信息系统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》的通知广公(网监) [2008]633 号?《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号) ?关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监) [2009]421 号) ?关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303 号) ?信息安全等级保护测评工作管理规范(试行) ?信息安全等级测评机构能力要求(试行) ?等级测评师培训和考试指南 国家对等级保护测评的要求?《管理办法》”等级保护的实施与管理“第十四条?信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。?第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 国家对测评机构的基本要求第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评: ?在中华人民共和国境内注册成立(港澳台地区除外); ?由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); ?从事相关检测评估工作两年以上,无违法记录; ?工作人员仅限于中录; ?使用的技术装备、设施应当符合本办法对信息安全产品的要求; ?具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; ?对国家安全、社会秩序、公共利益不构成威胁。广东省公安厅关于计算机信息系统安全保护的实施办法(一) ?第二十二条我省对测评机构实施备案制度。符合第二十一条规定的条件, 承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。?第二十五条第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。测评活动应当接受公安机关公共信息网络安全监察部门的监督。 广东省信息安全等级测评工作细则(试行) 计算机信息系统投入使用后,存在下列情形之一的, 应当进行安全自查,同时委托安全测评机构进行安全测评: (一)变更关键部件; (二)安全测评时间满一年; (三)发生危害计算机信系统安全的案件或安全事故; (四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评; (五)其他应当进行安全自查和安全测评的情形。申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。 广东省转发开展电子政务信息安全风险评估省发改委、省公安厅、省保密局《转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(粤发改高[2009]182 号文) ?省电子政务项目应开展信息安全等级测评和风险评估工作,作为项目竣工验收的重要内容。?非涉密项目在完成后试运行期间,向相关评测机构提出评估申请。?评测机构与承建单位原则上不能为同一家。?等级测评和风险评估费用计入项目总投资。 公安部对测评机构的明确要求对等级测评机构管理相关问题进行了明确,要求开展等级测评的单位不得从事下列活动: 一是承担信息系统安全建设整改工作; 二是将等级测评任务分包、外包; 三是信息安全产品开发、营销和信息系统集成活动; 四是限定被测评单位购买、试用其指定的信息安全产品; 五是未经许可占有、使用被测评单位有关信息、资料及数据文件。