黑龙江等保测评标准体系
等级保护测评标准体系
等保标准:
GB 17859-1999《计算机信息系统安全保护等级划分准则》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
GB∕T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
GB∕T 25058-2019《 信息安全技术 网络安全等级保护实施指南》
GB∕T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
其它产品类标准
等级保护对象定级与备案
涉及到运营、使用单位、主管部门、公安机关。
主管部门从行业特征、业务覆盖范围、主要承担的社会功能/职能和生产产值等方面梳理所有业务情况。
运营、使用单位针对每个业务,依据《网络安全等级保护定级指南》标准,根据业务信息重要性和系统服务重要性分析其安全保护要求,形成针对主要业务的行业/领域定级指导意见。
运营、使用单位到主管部门审核、批准,报公安机关备案审查。
总体安全规划
涉及到的角色主要是运营、使用单位和网络安全服务机构。该项工作可以由运营、使用单位独立完成。也可以由网络安全服务机构协助运营、使用单位完成。
1.定需求。由于等级已确定,因此应按《网络安全等级保护基本要求》对照相应等级选择相应的要求项作为安全保护需求。
还要注意系统的特殊安全需求。就是针对等保对象中的重要部件,分析其面临的威胁,确定需要优先实现的除基本安全保护需求之外的特殊安全保护要求。
2.定安全保障战略及方针
3.定安全目标,制定安全策略
4.规划技术体系架构和安全管理体系架构,技术体系架构设计时应重点关注不同等级定级对象之间互联时的安全防护策略
安全设计与实施
根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档,使得在网络安全产品采购和安全控制开发阶段具有依据。
安全技术体系设计与实施:
1.依据安全需求进行总体网络结构框架的设计
2.进行安全功能要求和性能要求的设计
3.结合当前等级保护对象网络拓扑构、设计最新的部署方案
4.选购设备组件,并对相关组件实施安全配置
注意:没有产品能够实现安全措施或需求的时候,需要专门设计、开发。
5.将不同的软硬件产品进行集成,综合、整合成为一个系统。
安全管理体系设计与实施:从组织机构、人员、文档及建设过程管理等方面来考虑。
1.组织机构与人员方面:网络安全管理机构和人员、网络安全维护队伍、网络安全专家队伍、网络安全检查评估审计队伍。
2.文档方面:高层策略文件、各类管理制度、具体操作规程和各类操作记录称为四层塔式管理文件体系。
3.安全建设过程管理:项目实施过程中的一些管理控制要求的实施。
安全运行与维护
包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
运营、使用单位还应该做好在异常状态下的应急和保障工作。
应针对不同等级不同类别的安全事件制定相应的应急预案,应急预案应尽量覆盖不同的安全事件,流程详细可操作。
等级保护对象
等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。
通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;
信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;
而数据资源的典型例子是大数据。
安全保护等级
五级,根据等保对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素来确定等级。
定级要素
定级要素有两个:“受侵害的客体”和“对客体的侵害程度”。
其中,受侵害的客体可能是以下三者之一或者组合:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
对客体的侵害程度归结为以下三种:
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。