等级保护测评(26).pptx

等级保护测评
程晓峰
目录
等级保护测评基本概念
等级保护测评法律法规
等级保护测评基本内容
等级保护测评案例介绍
等级保护测评基本概念
等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
测评机构承担的主要义务
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
测评机构不得从事的工作
(1)影响被测评信息系统正常运行,危害被测评信息系统安全;
(2)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;
(3)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(4)未按规定格式出具等级测评报告;
(5)非授权占有、使用等级测评相关资料及数据文件;
(6)分包或转包等级测评项目;
(7)信息安全产品开发、销售和信息系统安全集成;
(8)限定被测评单位购买、使用其指定的信息安全产品;
(9)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
等级测评师管理
测评人员参加由等级保护评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。
等级测评人员需持等级测评师证上岗。
高级测评师一般是测评机构技术负责人
中级测评师一般是测评项目经理
初级测评师一般是测评实施工程师(分为技术和管理两类)
测评报告
测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告
等级保护测评适用的阶段
在实施等级保护建设工作前,一般在系统备案后,信息系统运营、使用单位可以开展一次等级测评以确定信息系统安全现状与等级保护基本要求间差距,也称为差距测评或差距分析。
在等级保护建设整改完成后,通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等,也称为第三方测评或验收测评。
测评原则
a) 客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
b) 经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
c) 可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
d) 符合性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
当前的信息安全等级测评有关法规
《信息安全等级保护管理办法》(公通字[2007]43号)
广东省计算机信息系统安全保护条例
广东省公安厅关于计算机信息系统安全保护的实施办法
关于贯彻《广东省计算机信息系统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》的通知广公(网监)[2008]633号
《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812号)
关于明确信息安全等级保护测评机构管理有关事项的通知(广公(网监)[2009]421号)
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)
信息安全等级保护测评工作管理规范(试行)
信息安全等级测评机构能力要求(试行)
等级测评师培训和考试指南