(一)项目内容及要求
1.项目背景
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,也是《中华人民共和国网络安全法》的要求。车载式高空作业平台
根据国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》以及《地方重要信息系统安全等级保护工作实施方案》的要求,为贯彻落实国家网络信息安全等级保护相关工作要求,拟委托具有在效期内的“网络安全等级测评与检测评估机构服务认证证书”的测评机构对地方单位信息系统适应性改造项目展开等级保护测评,出与信息安全等级保护要求存在的差距,在此基础上,按照国家有关规定和标准规范要求对信息系统进行安全建设整改,且达到信息安全等级保护相关要求,并取得符合主管部门要求的网络安全等级保护测评报告。
2.测评对象
地方单位信息系统适应性改造项目中涉及的11个业务系统。
3.项目依据与参考规范
(1)《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》;
北斗接收机(2)《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》;
(3)《GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南》;
(4)《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》;
(5)《GB/T 22240—2020 信息安全技术网络安全等级保护定级指南》;
(6)《中华人民共和国网络安全法》。
4.项目原则
(1)客观公正性,测评检查人员不带偏见,减少主观判断实施检查活动;
(2)先进性:确保先进性同时,使用成熟稳定技术;
(3)实用性:满足业务功能需求的前提下,做到简单、实用、人性化;
(4)安全性:保证系统数据、交易数据、数据传输以及交易过程的安全性,防止数据被截取、篡改和丢失;
(5)最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
(6)保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。
(7)可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
5.项目实施方案
根据相关国家法律法规和标准,服务商对地方单位信息系统适应性改造项目开展网络安全等级保护测评工作。
(1)测评方协助采购人完成系统定级备案工作;
(2)差距测评服务
测评方对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议;
服务商根据等级保护2.0的标准对采购人相关信息系统实施差距测评,实施差距测评后出具《网络安全等级保护差距测评报告》和《网络安全等级保护整改建议书》。
网络安全等级保护2.0差距测评应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
离合器盘
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全控制测评;安全管理测评包括;安全管理制度、安全管理机构、安全管理人员、安全建设管理和系统运维管理五个方面的安全控制测评。
系统整体测评主要包括安全控制点间、层面间两部分。如图所示:
根据被测系统信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
(3)安全整改协助服务
协助采购人制定并落实安全管理制度,落实安全责任,建设安全设施,落实安全技术措施,提供无偿的咨询服务,指导采购人完成相关信息系统的安全整改,达到国家规定的信息安全要求。测评方需协
助采购人按照等级保护相关标准完善安全管理制度。
(4)测评验收服务
待采购人根据差距测评报告完成整改后,服务商再次对采购人相关信息系统进行测评验收,并根据实际测评结论出具符合2.0标准的《网络安全等级保护等级测评报告》,并协助采购人通过公安机关的备案与检查。
为此,测评方专业测评师需要通过规范的等级保护测试评估,对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。
魔盒防晒霜6.测评指标内容
(1)安全物理环境
安全物理环境测评是对被测系统的机房和办公场所的物理环境安全防护情况进行测评。
(2)安全通信网络
安全通信网络测评是对被测系统的通信网络安全防护情况进行测评。
(3)安全区域边界
安全区域边界测评是对被测系统的区域边界的安全防护情况进行测评。(4)安全计算环境
安全计算环境测评是对被测系统的计算环境的安全防护情况进行测评。(5)安全管理中心
安全管理中心测评是对被测系统的管理中心安全保护情况进行测评。(6)安全管理制度
安全管理制度测评。
(7)安全管理机构
安全管理机构测评。
速录器(8)安全管理人员
安全管理人员测评。
(9)安全建设管理
安全建设管理测评。
(10)安全运维管理
安全运维管理测评。
7.项目成果内容
(1)《网络安全等级保护差距测评报告》
中轴旋转门
(2)《网络安全等级保护整改建议书》
(3)《网络安全等级保护等级测评报告》
8.风险防范
(1)渗透测试风险控制
由于测试过程变化多端,渗透测试服务有可能对网络、系统运行造成一定不
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议