來(lái)源:安全前沿 | 作者: | 日期:2021-12-09 14:39:07 | 閱讀: 7930
信息安全等保測(cè)評(píng)全稱是信息安全等級(jí)保護(hù)測(cè)評(píng),是經(jīng)公安部認(rèn)證的具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu),依據(jù)國(guó)家信息安全等級(jí)保護(hù)規(guī)范規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。
對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行測(cè)試評(píng)估,應(yīng)包括兩個(gè)方面的內(nèi)容
1、安全控制測(cè)評(píng)主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;???????????????????2、系統(tǒng)整體測(cè)評(píng)主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中,安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。對(duì)安全控制測(cè)評(píng)的描述,使用測(cè)評(píng)單元方式組織。
測(cè)評(píng)單元分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類
1、安全技術(shù)測(cè)評(píng):包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測(cè)評(píng)。
2、安全管理測(cè)評(píng):包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)。
信息系統(tǒng)全生命周期
信息系統(tǒng)全生命周期分為“信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行維護(hù)、信息系統(tǒng)終止”等五個(gè)階段。
信息系統(tǒng)定級(jí)
定級(jí)備案是信息安全等級(jí)保護(hù)的首要環(huán)節(jié)。信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、專家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”的原則進(jìn)行。在等級(jí)保護(hù)工作中,信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則開(kāi)展工作,并接受信息安全監(jiān)管部門(mén)對(duì)開(kāi)展等級(jí)保護(hù)工作的監(jiān)管。
總體安全規(guī)劃
總體安全規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況,通過(guò)分析明確信息系統(tǒng)安全需求,設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案,并制定出安全實(shí)施計(jì)劃,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對(duì)于已運(yùn)營(yíng)(運(yùn)行)的信息系統(tǒng),需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距。
安全設(shè)計(jì)與實(shí)施
安全設(shè)計(jì)與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)安全總體方案的要求,結(jié)合信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃,分期分步落實(shí)安全措施。
安全運(yùn)行維護(hù)
安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié),涉及的內(nèi)容較多,包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立,環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理,網(wǎng)絡(luò)、系統(tǒng)的管理,密碼、密鑰的管理,運(yùn)行、變更的管理,安全狀態(tài)監(jiān)控和安全事件處置,安全審計(jì)和安全檢查等內(nèi)容。本標(biāo)準(zhǔn)并不對(duì)上述所有的管理過(guò)程進(jìn)行描述,希望全面了解和控制安全運(yùn)行與維護(hù)階段各類過(guò)程的本標(biāo)準(zhǔn)使用者可以參見(jiàn)其它標(biāo)準(zhǔn)或指南。
信息系統(tǒng)終止
信息系統(tǒng)終止階段是等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí),正確處理系統(tǒng)內(nèi)的敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。
在信息系統(tǒng)生命周期中,有些系統(tǒng)并不是真正意義上的廢棄,而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng),對(duì)于這些信息系統(tǒng)在終止處理過(guò)程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全。
文章圖片來(lái)源于網(wǎng)絡(luò),僅供交流學(xué)習(xí),版權(quán)歸原作者所有,如有侵權(quán),請(qǐng)聯(lián)系刪除,謝謝!
蘭州網(wǎng)站建設(shè),甘肅制作網(wǎng)站,蘭州點(diǎn)石網(wǎng)絡(luò) 版權(quán)所有 ?2018-2024 隴ICP備12000250號(hào) 甘公網(wǎng)安備: 62010002000051