等保测评流程详解:从系统定级到运维检查的五大阶段
保证评估过程包括五个主要阶段:系统评分→系统归档→整流实施→系统评估→操作和维护检查。
1。级别保护评估的基础:
根据“信息系统安全级别保护的基本要求”的第14条,“级别保护的实施和管理”:
信息系统的构建完成后,操作和用户单位或其主管部门应选择符合这些措施规定条件的评估单位,并根据技术标准定期进行信息系统的安全状况评估例如“信息系统安全级别保护评估要求”。
第三级信息系统应每年至少进行年级评估一次,第四级信息系统应至少进行六年的评估评估,而第五级信息系统应进行基于等级评估的信息系统关于特殊安全需求。
2。级别保护工作的步骤
在操作单元确定有必要执行信息系统级别保护工作之后,它应该根据以下步骤逐渐推进工作:
1。确定信息系统的数量和每个信息系统的保留水平。
2。对于每个目标系统,根据“信息系统级别指南”的要求和标准单独进行等级保护,并填写“系统级别报告”和“系统基本信息调查表”(一个系统放)。操作单元还可以委托合格的担保和评估机构,以协助填写上述表格。
3.向当地的公共安全器官提交“系统级别报告”和“系统基本信息研究表”,获取“信息系统级别保护级注册证书”(每个系统一个副本),然后完成系统评分注册阶段。
4。根据确定的级别标准,选择其他担保和评估机构以对目标系统进行级别保护评估工作(有关特定评估程序,请参见第3条)
5。完成级别评估工作并获得“信息系统级别保护评估报告”(每个系统一份副本)后,将“报告”提交给相关部门进行备案。
6。结合“评估报告”的整体情况,为了在报告中纠正这些项目,为明年的单位制定了“级别保护工作计划”,并促进了下一阶段的信息安全工作阶段根据计划。
3。级别评估的过程:
差距评估阶段分为以下内容:评估准备活动,计划准备活动,现场评估活动,分析和报告准备活动,纠正阶段,接受和评估阶段。
1。评估准备活动阶段
签署合同和机密协议
首先,在评估单元选择评估机构之后,双方都需要签署“评估服务合同”,其中包括项目范围(哪个系统?),项目内容(差距评估?接受评估?协助纠正措施?),和项目周期(何时输入网站?项目计划将完成多长时间?),项目实施计划(评估工作的步骤),项目人员(项目实施团队人员),项目接受标准,付款方式,违反合同条款等。
在签署“评估服务合同”的同时,评估机构应签署“披露协议”。 “披露协议”通常分为两种类型。一种是签署评估机构和正在测试的单位(公开与公众),该机构在评估过程中规定了评估机构的机密责任;另一个是在评估机构项目团队的成员和正在测试的单位之间。符号。
项目发布会
双方签署了委托评估合同后,双方都可以就举行项目启动会议的时间达成共识。项目启动会议的目的主要是为了动员公司涉及的部门,提醒相关部门关注它,协调内部资源,介绍评估方的项目实施人员,计划安排等,以实施整个级别评估项目。做基本的准备。
系统情况调查
启动会议结束后,评估方进行了调查,并完成了“信息系统的基本情况调查表”,以掌握正在测试的系统的详细信息,并为评估计划的准备准备。评估准备活动是进行级别评估工作的前提和基础,并且是整个水平评估过程有效性的保证。评估准备是否足够,与是否可以顺利进行后续工作直接相关。评估二级系统的准备工作通常需要1半天,而第三级系统的准备通常大约需要2天才能完成。
2。评估计划准备阶段
此阶段的主要任务是确定适用于正在测试的信息系统的评估对象,评估指标和评估内容,并根据需要重复使用或制定评估实施手册以构成评估计划。计划准备活动为现场评估提供了最基本的文件基础和指导计划。辅助系统的准备通常大约需要2天才能完成。
3。现场评估阶段
现场评估活动是进行级别评估工作的核心活动,包括技术评估和管理评估。其中,技术评估包括:物理安全性,网络安全性,主机安全性,应用程序安全性,数据安全性以及备份和恢复。管理评估包括:安全管理系统,安全管理组织,人员安全管理,系统构建管理以及系统操作和维护管理。现场间隙评估通常包括五个方面:访谈,文档审查,配置检查,工具测试和现场检查。
此阶段的输出是物理安全现场评估记录,网络安全现场评估记录,主机安全现场评估记录,应用程序安全现场评估记录,数据安全性和备份恢复现场评估记录,安全性管理系统现场评估记录和安全管理机构现场评估记录,人员安全管理的现场评估记录,系统施工管理的现场评估记录以及系统操作和维护管理的现场评估记录, ETC。
4。分析和报告准备阶段
在此阶段的主要任务是通过现场评估结果来找出整个系统的当前安全保护状态与相应级别的保护要求之间的差距,例如单个评估结果确定,单位评估结果确定,整体评估和风险分析,并分析整个系统当前安全保护状态与相应级别的保护要求之间的差距,这些差距导致了正在测试的系统面临的风险,从而进行了评估评估结论和形成评估报告文本。二级系统的分析和报告准备工作通常需要大约3-4天才能完成。
此工作阶段不一定需要在客户的网站上完成。 “评估报告”的模板是由公共安全器官统一提出的。
此阶段的输出是“某个系统的评估报告”和“辅助系统补救建议”。
5。补救阶段
纠正主要是根据评估机构发布的差距评估报告和纠正建议进行的。此阶段主要由备案部门实施,并由评估机构协助。客户可以根据自己的实际情况将纠正措施分为短期,中期和长期。
6。接受和评估阶段
评估过程与以前的过程相同,主要是为了检查整流结果。
总而言之,如果客户完全与评估方合作并派遣三名审阅者,则对二级系统进行完整的评估将花费大约两个星期。如果同时评估多个系统,将有一些重复的工作,并且需要详细分析具体情况。
4.经过测试方(记录单元)需要在评估阶段进行合作的工作
1。评估准备阶段:
1)经过测试的一方应建立一个项目团队并任命项目经理;
2)将单位的信息构建状况和开发介绍给评估机构;