簡(jiǎn)介
信息安全合規(guī)測(cè)評(píng)是國(guó)家強(qiáng)制要求的,信息系統(tǒng)運(yùn)營(yíng)敌厘、使用單位或者其主管部門台猴,必須在系統(tǒng)建設(shè)、改造完成后俱两,選擇具備資質(zhì)測(cè)評(píng)機(jī)構(gòu)饱狂,依據(jù)信息安全合規(guī)性要求,對(duì)信息系統(tǒng)是否合規(guī)進(jìn)行檢測(cè)和評(píng)估的活動(dòng)宪彩。信息安全合規(guī)測(cè)評(píng)具有強(qiáng)制性和周期性(定期檢測(cè))休讳,是國(guó)家信息安全部門督促合規(guī)性要求落地實(shí)施,保障信息安全的重要手段尿孔。
合規(guī)要求
等級(jí)保護(hù)
等級(jí)保護(hù)將信息系統(tǒng)按照價(jià)值系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小俊柔、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別劃分五個(gè)等級(jí)進(jìn)行保護(hù)活合。其分級(jí)雏婶、分區(qū)域、分類和分階段是做好國(guó)家信息安全保護(hù)的前提白指。等級(jí)保護(hù)依據(jù)公安部留晚、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦先后聯(lián)合下發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》侵续、《信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)管理辦法》開(kāi)展倔丈。分級(jí)保護(hù)
分級(jí)保護(hù)針對(duì)的是涉密信息系統(tǒng),根據(jù)涉密信息的涉密等級(jí)状蜗,涉密信息系統(tǒng)的重要性需五,遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性,以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平劃分為秘密級(jí)轧坎、機(jī)密級(jí)和絕密級(jí)三個(gè)等級(jí)宏邮。國(guó)家保密局專門對(duì)涉密信息系統(tǒng)如何進(jìn)行分級(jí)保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn),目前缸血,正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》蜜氨。-
等級(jí)保護(hù)和分級(jí)保護(hù)的區(qū)別
- 劃分等級(jí)的標(biāo)準(zhǔn)不同:等級(jí)保護(hù)主要根據(jù)系統(tǒng)的價(jià)值和重要程度劃分五個(gè)等級(jí)進(jìn)行保護(hù);分級(jí)保護(hù)主要根據(jù)信息系統(tǒng)的涉密等級(jí)和遭到破壞的危害性劃分為三個(gè)等級(jí)進(jìn)行保護(hù)捎泻。
- 重點(diǎn)保護(hù)對(duì)象不同:國(guó)家安全信息等級(jí)保護(hù)重點(diǎn)保護(hù)的對(duì)象是涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng)(金融飒炎、稅務(wù)、工商笆豁、海關(guān)郎汪、能源赤赊、交通運(yùn)輸、社會(huì)保障煞赢、教育等)抛计,而不論它是否涉密;涉密信息系統(tǒng)分級(jí)保護(hù)保護(hù)的對(duì)象是所有涉及國(guó)家秘密的信息系統(tǒng)照筑,重點(diǎn)是黨政機(jī)關(guān)吹截、軍隊(duì)和軍工單位,確保國(guó)家秘密不被泄漏凝危。
- 地位及范圍不同:國(guó)家信息安全等級(jí)保護(hù)是國(guó)家從整體上波俄、根本上解決國(guó)家信息安全問(wèn)題的辦法,是國(guó)家法定制度和基本國(guó)策媒抠,是開(kāi)展信息安全保護(hù)工作的有效辦法弟断。而涉密信息系統(tǒng)分級(jí)保護(hù)則是是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分咏花,是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)趴生。
等級(jí)保護(hù)級(jí)別劃分
- 第一級(jí):用戶自主保護(hù)級(jí)。完全由用戶自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù)昏翰,以及采用何種方式進(jìn)行保護(hù)苍匆。
- 第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)。本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo)棚菊,支持用戶具有更強(qiáng)的自主保護(hù)能力浸踩,特別是具有訪問(wèn)審計(jì)能力。
- 第三級(jí):安全標(biāo)記保護(hù)級(jí)统求。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外检碗,它還要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制,并能夠進(jìn)行記錄码邻,以便事后的監(jiān)督折剃、審計(jì)。
- 第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)像屋。將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象怕犁,支持形式化的安全保護(hù)策略。
- 第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)己莺。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能奏甫,負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng),仲裁訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行屃枋埽控阵子,保護(hù)信息不能被非授權(quán)獲取。
等級(jí)保護(hù)實(shí)現(xiàn)
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)
《信息系統(tǒng)通用技術(shù)要求》(GA/T 390-2002)
《信息系統(tǒng)安全管理要求》(GB/T 20269-2006)
《信息系統(tǒng)安全工程管理要求》(GB/T 20282-2006)
- 物理部分:包括周邊環(huán)境胜蛉,門禁檢查挠进,防火智蝠、防水、防潮奈梳、防鼠杈湾、蟲(chóng)害和防雷,防電磁泄漏和干擾攘须,電源備份和管理漆撞,設(shè)備的標(biāo)識(shí)、使用于宙、存放和管理等浮驳;
- 支撐系統(tǒng):包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)捞魁、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng)至会;
- 網(wǎng)絡(luò)部分:包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)谱俭、網(wǎng)絡(luò)設(shè)備的管理和報(bào)警结缚,網(wǎng)絡(luò)攻擊的監(jiān)察和處理;
- 應(yīng)用系統(tǒng):包括系統(tǒng)登錄柏卤、權(quán)限劃分與識(shí)別缸夹、數(shù)據(jù)備份與容災(zāi)處理,運(yùn)行管理和訪問(wèn)控制凑懂,密碼保護(hù)機(jī)制和信息存儲(chǔ)管理煤痕;
- 管理制度:包括管理的組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度接谨,人員的管理和培訓(xùn)摆碉、教育制度,設(shè)備的管理和引進(jìn)脓豪、退出制度巷帝,環(huán)境管理和監(jiān)控,安防和巡查制度跑揉,應(yīng)急響應(yīng)制度和程序锅睛,規(guī)章制度的建立、更改和廢止的控制程序历谍。
涉密系統(tǒng)分級(jí)保護(hù)的劃分
- 秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密现拒,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求,并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求望侈。
-
機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密印蔬,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求脱衙。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)(增強(qiáng))的要求:
(1)信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)侥猬,以及國(guó)防例驹、外交、國(guó)家安全退唠、軍工等要害部門鹃锈;
(2)信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;
(3)信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高瞧预。 - 絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密屎债,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求垢油,絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi)盆驹,不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。
分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)
BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》
BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》
- 物理安全:
- 信息安全:
- 運(yùn)行安全:
- 安全保密:
等級(jí)評(píng)測(cè)主要內(nèi)容
- 單元測(cè)評(píng):從信息安全管理制度滩愁、信息安全管理機(jī)構(gòu)躯喇、人員安全管理、信息系統(tǒng)建設(shè)管理硝枉、信息系統(tǒng)運(yùn)維管理廉丽、物理安全、網(wǎng)絡(luò)安全檀咙、主機(jī)安全雅倒、應(yīng)用安全璃诀、數(shù)據(jù)安全等層面弧可,測(cè)評(píng)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況。
- 整體測(cè)評(píng):主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性劣欢。在內(nèi)容上主要包括安全控制間棕诵、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等,是在單元測(cè)評(píng)基礎(chǔ)上進(jìn)行的進(jìn)一步測(cè)評(píng)分析凿将。
等級(jí)評(píng)測(cè)主要流程
- 測(cè)評(píng)準(zhǔn)備活動(dòng)
本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)校套,是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開(kāi)展牧抵。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況笛匙,準(zhǔn)備測(cè)試工具,為編制測(cè)評(píng)方案做好準(zhǔn)備犀变。 - 方案編制活動(dòng)
本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)妹孙,為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象获枝、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等蠢正,并根據(jù)需要重用或開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書,形成測(cè)評(píng)方案省店。 - 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)
本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)嚣崭。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求笨触,嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書,分步實(shí)施所有測(cè)評(píng)項(xiàng)目雹舀,包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面芦劣,以了解系統(tǒng)的真實(shí)保護(hù)情況,獲取足夠證據(jù)说榆,發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題持寄。 - 分析與報(bào)告編制活動(dòng)
本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng),是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)娱俺。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息安全等級(jí)保護(hù)基本要求》的有關(guān)要求稍味,通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定荠卷、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法模庐,找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距,并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)油宜,從而給出等級(jí)測(cè)評(píng)結(jié)論掂碱,形成測(cè)評(píng)報(bào)告文本。
等級(jí)合規(guī)測(cè)評(píng)的指標(biāo)
開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)應(yīng)從《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)中選擇相應(yīng)等級(jí)的安全要求作為基本測(cè)評(píng)指標(biāo)慎冤。
- 第二級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)疼燥,除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全蚁堤、主機(jī)安全醉者、應(yīng)用安全、數(shù)據(jù)安全披诗、管理制度撬即、管理機(jī)構(gòu)、人員安全管理呈队、系統(tǒng)建設(shè)安全管理剥槐、系統(tǒng)運(yùn)維管理的66項(xiàng)基本要求(177個(gè)控制點(diǎn))作為基礎(chǔ)測(cè)評(píng)指標(biāo)以外,還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的83個(gè)控制點(diǎn)宪摧、《信息系統(tǒng)安全管理要求》中的70個(gè)控制點(diǎn)粒竖、《信息系統(tǒng)安全工程管理要求》中的51個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn),結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定几于。
- 第三級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)確定蕊苗,除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全孩革、主機(jī)安全岁歉、應(yīng)用安全、數(shù)據(jù)安全、管理制度锅移、管理機(jī)構(gòu)熔掺、人員安全管理、系統(tǒng)建設(shè)安全管理非剃、系統(tǒng)運(yùn)維管理的73項(xiàng)基本要求(290個(gè)控制點(diǎn))作為測(cè)評(píng)指標(biāo)以外置逻,還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的109個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)备绽、《信息系統(tǒng)安全工程管理要求》中的42個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)券坞,結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定。
- 第四級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)確定肺素,除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全恨锚、網(wǎng)絡(luò)安全、主機(jī)安全倍靡、應(yīng)用安全猴伶、數(shù)據(jù)安全、管理制度塌西、管理機(jī)構(gòu)他挎、人員安全管理、系統(tǒng)建設(shè)安全管理捡需、系統(tǒng)運(yùn)維管理的77項(xiàng)基本要求(317個(gè)控制點(diǎn))作為測(cè)評(píng)指標(biāo)以外办桨,還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的120個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)站辉、《信息系統(tǒng)安全工程管理要求》中的35個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)呢撞,結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定。
- 對(duì)于由多個(gè)不同等級(jí)的信息系統(tǒng)組成的被測(cè)系統(tǒng)庵寞,應(yīng)分別確定各個(gè)定級(jí)對(duì)象的測(cè)評(píng)指標(biāo)狸相。如果多個(gè)定級(jí)對(duì)象共用物理環(huán)境或管理體系,而且測(cè)評(píng)指標(biāo)不能分開(kāi)捐川,則不能分開(kāi)的測(cè)評(píng)指標(biāo)應(yīng)采用就高原則。
