IT資質
qualifications
-
全國客戶服務熱線
138-2352-8464
當前位置:首頁 > IT資質 > 網絡安全等級保護測評
網絡安全等級保護測評
等保測評差距分析有哪些內容?
為確保信息系統的安全保護措施符合相應安全等級的基本安全要求,需要實施安全等級現狀測評,以提出合理、有效的安全整改建議,為信息系統制定信息安全規劃和決策提供依據。
為確保信息系統的安全保護措施符合相應安全等級的基本安全要求,需要實施安全等級現狀測評,以提出合理、有效的安全整改建議,為信息系統制定信息安全規劃和決策提供依據。
測評機構將指導系統運維方開展安全評估工作,簡要了解系統現有安全保障措施與國家信息安全等級保護等級標準要求之間的差距,制定信息安全規劃方案;同時檢查系統在技術層面存在的脆弱性漏洞,為后續安全加固工作奠定基礎。
等級保護差距分析
按照等級保護實施要求,信息系統應該具備相應等級的安全防護能力,部署相應的安全設備,制定相應的安全管理機構、制度、崗位等。
差距分析就是依據等級保護技術標準和管理規范,比較分析信息系統安全防護能力與等級要求之間的差距。為等級化體系設計提供依據。
工作內容
差距分析將從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面分別進行。具體內容為:
1、網絡安全等級保護測評技術差距檢測:
(1)物理安全:針對信息系統所處的物理環境即機房、線路、基礎支撐設施等進行標準符合性識別。主要包含:物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面。
(3)主機安全:評估信息系統的主機系統安全保障情況。主要包含:身份鑒別、訪問控制、安全審計、系統保護、入侵防護、惡意代碼防護、資源控制等方面。
(4)應用安全:對信息系統進行應用安全符合性調查。主要包含:身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面。
(5)數據安全:評估信息系統的數據安全保障情況。主要檢查系統的數據在采集、傳輸、處理和存儲過程中的安全。
2、等保測評管理差距檢測:
(1)安全管理制度:評估安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。
(2)安全管理機構:評估安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。
(3)人員安全管理:評估機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。
(4)系統建設管理:評估系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。
(5)系統運維管理:評估系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。
3、等級保護差距分析:
等保測評基于技術、管理層面的標準合規性檢測結果,根據國家等級保護標準,結合行業規范,針對標準的每項具體要求,從微觀角度展開,深入分析信息系統與相應等級要求之間的差距,并從宏觀角度對計算環境、區域邊界和通信網絡等方面對單元檢測的結果進行驗證、分析和整體評價,確認信息系統的整體安全防護能力有無缺失,是否能夠對抗相應等級的安全威脅,為安全規劃設計提供依據。
測評機構將指導系統運維方開展安全評估工作,簡要了解系統現有安全保障措施與國家信息安全等級保護等級標準要求之間的差距,制定信息安全規劃方案;同時檢查系統在技術層面存在的脆弱性漏洞,為后續安全加固工作奠定基礎。
等級保護差距分析
按照等級保護實施要求,信息系統應該具備相應等級的安全防護能力,部署相應的安全設備,制定相應的安全管理機構、制度、崗位等。
差距分析就是依據等級保護技術標準和管理規范,比較分析信息系統安全防護能力與等級要求之間的差距。為等級化體系設計提供依據。
工作內容
差距分析將從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面分別進行。具體內容為:
1、網絡安全等級保護測評技術差距檢測:
(1)物理安全:針對信息系統所處的物理環境即機房、線路、基礎支撐設施等進行標準符合性識別。主要包含:物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面。
(2)網絡安全:對評估工作范圍內的網絡與安全設備、網絡架構進行網絡安全符合性調查。主要包含:結構安全與網段劃分、網絡訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護等方面。
(3)主機安全:評估信息系統的主機系統安全保障情況。主要包含:身份鑒別、訪問控制、安全審計、系統保護、入侵防護、惡意代碼防護、資源控制等方面。
(4)應用安全:對信息系統進行應用安全符合性調查。主要包含:身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面。
(5)數據安全:評估信息系統的數據安全保障情況。主要檢查系統的數據在采集、傳輸、處理和存儲過程中的安全。
2、等保測評管理差距檢測:
(1)安全管理制度:評估安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。
(2)安全管理機構:評估安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。
(3)人員安全管理:評估機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。
(4)系統建設管理:評估系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。
(5)系統運維管理:評估系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。
3、等級保護差距分析:
等保測評基于技術、管理層面的標準合規性檢測結果,根據國家等級保護標準,結合行業規范,針對標準的每項具體要求,從微觀角度展開,深入分析信息系統與相應等級要求之間的差距,并從宏觀角度對計算環境、區域邊界和通信網絡等方面對單元檢測的結果進行驗證、分析和整體評價,確認信息系統的整體安全防護能力有無缺失,是否能夠對抗相應等級的安全威脅,為安全規劃設計提供依據。
您可以直接撥打咨詢電話:13823528464 孫經理,我們將馬上安排資深顧問為您介紹成功案例、產品詳情、定制化解決方案及報價等信息。
官方網址:http://www.h32652.cn/index.html
公司地址:深圳市龍華區民治街道藍坤大廈813室
- 上一篇:哪些單位需要做等保測評
- 下一篇:信息安全等級保護測評是干什么的