网络安全等级保护五个步骤
1.定级
步骤:确定定级对象,初步确认定级对象(包括系统、硬件、服务器、终端等各种资产),专家平审,主管部门审核、公安机关备案审查。
2.备案
持定级报告、备案表等材料到当地公安机关网安部门备案。
3.建设整改
参照信息系统当前等级要求和标准(国标),对信息系统进行整改加固。
4.等级测评
委托具备测评资质的测评机构对信息系统进行等及测评,形成正式的测评报告。
5.监督检查
向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。
基本是根据资产的重要程度来定级。衡量这个重要程度有两个维度来看:
1.受侵害的客体
2.对客体的侵害程度
业务信息安全保护等级矩阵表
系统服务安全保护等级矩阵表
例子:12306系统。
从业务信息看这个资产的数据遭到窃取。可以对照业务信息安全保护等级矩阵表中的列看系统影响的客体是谁。这里应该是:社会秩序、公共利益。然后再看行确定侵害程度为特别严重损害。以S为单位,记为S4。
从系统服务看这个资产受到攻击或者各种原因宕机(无法提供服务),可以对照系统服务安全保护等级矩阵表中的列看系统影响的客体是谁。这里应该是:社会秩序、公共利益。然后再看行确定侵害程度为特别严重损害。以A为单位,记为A3。
最后定级:S4A3,按就高原则,定位4级
S:业务信息安全类
A:系统服务保证类
1.定级报告
2.备案表
.备案证明
做差分整改具体后面再写,大概的等级测评方法:
1.访谈:通过引导信息系统相关进行有目的(针对性)交流以帮助测评人员理解、澄清或取得证据的过程。
2.核查:通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。
3.测试:使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果信息比对的过程。
| 测评结论 | 判别依据 | 综合得分 |
|---|---|---|
| 符合 | 信息系统中未发现安全问题,等级测评结果中所有测评项得分均为5分。 | 100分 |
| 基本符合 | 信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险 | ∑ k = 1 p 测 评 项 的 多 对 象 平 均 分 × 测 评 项 权 重 ∑ k = 1 p 测 评 项 权 重 × 20 cfrac{sum_{k=1}^p测评项的多对象平均分×测评项权重}{sum_{k=1}^p测评项权重}×20 ∑k=1p测评项权重∑k=1p测评项的多对象平均分×测评项权重×20 |
| 不符合 | 信息系统中存在安全问题,而且会导致信息系统面临高等级安全风险 | 60- ∑ j = 1 I 修 正 后 问 题 严 重 程 度 值 ∑ k = 1 p 测 评 项 权 重 × 12 cfrac{sum_{j=1}^I修正后问题严重程度值}{sum_{k=1}^p测评项权重}×12 ∑k=1p测评项权重∑j=1I修正后问题严重程度值×12 |
表中:p为总测评项数,不含不适用的控制点和测评项,有修正的测评项以修正后测评项符合程度得分带入计算。
I为安全问题数。
(等保1.0)符合性判别依据是:
1.信息系统中是否存在高风险,如果有,一票否决。
2.信息系统中没有高风险,且测评项综合得分为60分以上100分以下为基本符合。
部分测评机构要求70分通过测评
全面革新测评结论:优、良、中、差
本文发布于:2024-02-05 02:15:50,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170721751162101.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
