社区
400-6677-951
等级保护服务整体解决方案
【定级、备案、整改、评测、检查一站式服务】
北京企易办科技有限公司
方案 | 时间 | 版本 |
帮企行 | 2018年 | V1.0 |
北京企易办科技有限公司以下简称“帮企行”,是一家为中国企业提供信息化建设应用服务的公司,主要面向IDC/ISP/CDN等企业提供等级保护一体化解决方案,同时提供备案系统、接入系统、信安系统软硬件产品、系统测评、对接、维护服务。目前,帮企行已在全国建立了数十个合作渠道,服务于众多家客户,形成了具有核心竞争力的产品线和服务品牌。
帮企行拥有“备案管理系统” “接入资源管理系统” “信安管理系统”等评测服务方案;工信部CDN内容分发网络、ISP互联网接入服务业务、IDC 互联网数据中心业务经营牌照申请整体服务方案;帮企行最先整合等保备案评测与许可证申请,系统评测资源整合整体打包服务解决方案的服务商。
帮企行将继续依托在产品技术、管理经验、团队服务等方面的核心优势,为中国企业提供更多、更优质的信息化建设应用服务。
系统运营使用单位先进行定级备案工作,获得公安网警部门颁发的备案证明。
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
具体工作为被测评单位填写《信息安全调查表》,准备调查表所需文档及资料;测评机构再进行现场调研,进行信息收集和分析;并准备现场测评所需使用的工具及表单。
图 1:测评准备活动基本工作流程
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
测评方案需要被测评单位的确认后才能开始现场测评阶段。
图 2:方案编制活动工作流程
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施测评项目,包括单元测评和整体测评两个方面,以了解系统的真实情况,获取足够证据,发现系统存在的安全问题。
图 3:现场测评活动基本工作流程
现场测评结束后,测评机构出具《整改建议书》给被测评单位,被测评单位进行整改加固,整改结束后,测评机构进行测评回归。
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和 GB/T 22239-2008的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《等级保护测评报告》。
图 4:分析与报告编制活动工作流程
本次测评将参照等级测评实施办法,严格按照《信息系统信息安全等级保护实施指引》等三项行业标准进行,详细如下:
(一)基础
1、《计算机信息系统安全保护等级划分准则》GB17859-1999
2、《信息安全等级保护实施指南》(国信办[2005]25 号)
3、《信息安全等级保护管理办法》公通字〔2007〕43 号
(二)定级环节
4、《信息系统安全保护等级定级指南》GB/T22240-2008
(三)安全建设整改技术环节
5、《信息系统安全等级保护基本要求》GB/T22239-2008
(四)等级测评环节
6、《信息系统安全等级保护测评要求》GB/T 28448-2012
7、《信息系统安全等级保护测评过程指南》GB/T 28449-2012
按照信息安全等级保护测评三级(S3A3G3),包括物理安全、网络安全、主机安全、数据安全、应用安全、安全管理制度、安全管理机构、人员安全、系统建设安全、系统运维安全 10 个部分。
分类 | 子类 | 基本要求 | 测评 项数 |
物理安全 | 物理位置的选择(G3) | 测评物理机房所在的外部环境安全性和便捷性。 | 2 |
物 理 访 问 控 制(G3) | 测评进出机房的审批控制手段以及机房出入口的安全控制情况。 | 4 | |
防盗窃和防破坏 (G3) | 测评机房内设备、通信线缆和介质的安全性以及监控报警系统建设情况。 | 6 | |
防雷击(G3) | 测评建筑防雷措施和接地线的连接情况。 | 3 | |
防火(G3) | 测评灭火设备配置和火灾自动报警系统运行情况。 | 3 | |
防水和防潮(G3) | 测评机房内水管设置情况、防止结露所采取的措施。 | 4 | |
防静电(G3) | 测评机房防静电所采取的措施。 | 2 | |
温湿度控制(G3) | 测评机房温湿度控制措施。 | 1 | |
电力供应(A3) | 测评电力线路、备用电源的配备情况。 | 4 | |
电磁防护(G3) | 测评电磁干扰、关键设备电磁屏蔽状况。 | 3 | |
网络安全 | 结构安全(G3) | 主要核查:主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分策略。 | 7 |
访问控制(G3) | 主要核查:访问控制功能、协议深层检测、流量限制和并发连接数限制等等。 | 8 | |
安全审计(G3) | 主要核查:网络设备日志收集、统计和日志分析等等。 | 4 | |
边界完整性检查(S3) | 主要核查:非法外联和非法内联等。 | 2 | |
入侵防范(G3) | 主要核查:部署 IDS 系统以及使用情况 | 2 | |
恶意代码防范(G3) | 主要核查:网络边界的恶意代码清除、恶意代码库的更新。 | 2 | |
网络设备防护(G3) | 主要核查:用户身份鉴别、管理员登录地址限制、用户标识唯一性、口令策略、登录策略、防窃听等。 | 8 | |
主机安全 | 身份鉴别(S3) | 主要核查:对登录操作系统和数据库系统的用户进行身份标识和鉴别方法。 | 6 |
访问控制(S3) | 主要核查:安全策略配置、默认帐户的访问权限、删除多余的、过期的帐户,避免共享帐户的存在 | 7 | |
安全审计(G3) | 主要核查:审计覆盖范围、审计内容、 审计记录、审计记录避免受到未预期的删除、修改或覆盖等。 | 6 | |
剩余信息防护(S3) | 主要核查:鉴别信息在分配给其他用户使用时候的清除情况。 | 2 | |
入侵防范(G3) | 主要核查:安装的系统组件和应用程序是否都是必须的、系统补丁的升级情况。 | 3 | |
恶意代码防范(G3) | 防恶意代码软件及其更新情况。 | 3 | |
资源控制(A3) | 主要核查:限制终端登录、终端的操作超时锁定、应限制单个用户对系统资源的最大或最小使用限度。 | 5 | |
应用安全 | 身份鉴别(S3) | 主要核查: 操作系统和数据库系统用户身份标识和鉴别、登录失败处理功能、登录失败处理措施。 | 5 |
访问控制(S3) | 主要核查:用户组/用户对系统功能和用 户数据的访问、主体配置访问控制策略,默 认用户的访问权限。 | 6 | |
安全审计(G3) | 主要核查:覆盖到用户的安全审计功能、保证无法删除、修改或覆盖审计记录、审计记录的内容 | 4 | |
通信完整性(S3) | 应采用密码技术保证通信过程中数据的完整性 | 1 | |
通信保密性(S3) | 建立会话前和会话过程中的报文加密。 | 2 | |
抗抵赖(G3) | 提供原发证据和接收证据的功能。 | 2 | |
软件容错(A3) | 主要核查:应提供数据有效性检验功能、在故障发生时,应用系统应能够继续提供一部分功能,屏蔽系统技术错误信息。 | 2 | |
资源控制(A3) | 主要核查:一方在一段时间内未作任何响应,另一方应能够自动结束会话、对最大并发会话连接数进行限制、应能够对单个帐户的多重并发会话进行限制 | 7 | |
数据安全 | 数据完整性(S3) | 主要核查:能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏 | 2 |
数据保密性(S3) | 主要核查:传输保密性和存储保密性 | 2 | |
数据备份和恢复(A3) | 主要核查:能够对重要信息进行备份和恢复、提供关键网络设备、通信线路和数据处理系统的硬件冗余。 | 4 | |
安全管理制度 | 管理制度(G3)
| 主要核查: 通过访谈安全主管,检查有关管理制度体系文档等过程,测评是否建立了管理制度体系。 | 4 |
制定和发布(G3) | 主要核查: 通过访谈安全主管,检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程。 | 5 | |
评审和修订(G3) | 主要核查: 通过访谈安全主管,测评管理制度定期评审和修订情况。 | 2 | |
安全管理机构 | 岗位设置(G3) | 主要核查: 通过访谈安全主管、相关方面负责人,检查岗位职责文档,测评是否明确岗位分工,岗位职责是否明确 | 4 |
人员配备(G3) | 主要核查: 通过访谈安全主管,检查安全管理各岗位人员信息表,测评各安全岗位是否配备相应人员,专兼职情况 | 3 | |
授权和审批(G3) | 主要核查: 通过访谈安全主管,检查审批管理制度文档,测评管理制度授权与审批情况及文档处理流程是否和制度一致 | 4 | |
沟通和合作(G3) | 主要核查: 通过访谈安全主管,检查部门间、部门内部、外联单位相关文档,测评内外部部门、单位合作沟通情况 | 5 | |
审核和检查(G3) | 主要核查: 通过访谈安全管理员,检查定期实施安全检查的文档或记录,测评日常检查、备份情况及周期性 | 4 | |
人员安全管理 | 人员录用(G3)
| 主要核查: 通过访谈安全主管人事管理相关人员,检查人事管理相关文档,测评人员录用时人员要求、考核、保密、备案情况以及违反国家法律法规等人员不得从事信息安全管理工作。 | 4 |
人员离岗(G3) | 主要核查: 通过访谈安全主管、人事管理相关人员,检查人事离岗相关文档,测评离岗人员是否注意安全保密、物品交接情况。 | 3 | |
人员考核(G3) | 主要核查: 通过访谈安全主管,检查人事考核文档,测评人员安全技能及考核情况 。 3 | 3 | |
安全意识教育和培训(G3) | 主要核查: 通过访谈安全主管,安全管理员、系统管理员和网络管理员,检查安全教育和培训计划文档及相关记录。 | 4 | |
| 外部人员访问管理(G3) | 主要核查: 通过访谈安全管理员,检查受控区域的访问授权或审批流程,批准后由专人全程陪同或监督,并登记备案。 | 2 |
系统建设管理 | 系统定级(G3) | 主要核查: 通过访谈安全主管,检查系统定级 文档,测评系统定级情况是否规范 | 4 |
安全方案设计(G3) | 主要核查: 通过访谈系统建设负责人,检查系统的安全方案,检查系统的详细设计方案,检查专家论证文档,测评系统建设时期对安全方案等安全措施是否规范 | 5 | |
产品采购和使 用(G3) | 主要核查: 通过访谈安全主管,访谈系统建设负责人,检查系统使用的有关信息安全产品,检查密码产品的使用情况,测评安全产品及密码产品的采购及使用是否规范,购置扫描、检测类信息安全产品,安全产品授权使用,相关日志和报表汇总分析并备份 存档及升级维护。 | 4 | |
自行软件开发 (G3) | 主要核查: 通过访谈系统建设负责人,访谈系统建设负责人,检查软件开发管理制度,检查软件设计的相关文档,测评软件自行开发的规范情况,确保开发人员和测试人员分离。 | 5 | |
外包软件开发 (G3) | 主要核查: 通过访谈系统建设负责人,检查软件开发文档和使用指南检查软件源代码审查记录,测评外包软件开发的审核情况,外包服务的管理。 | 4 | |
工程实施(G3) | 主要核查: 通过访谈系统建设负责人,检查工程实施方案,测评工程实施过程中项目管理情况。 | 3 | |
测试验收(G3) | 主要核查: 通过访谈系统建设负责人,检查工程测试验收方案,检查测试验收记录,检查系统测试验收报告及评审文档,测评项目验收情况生产系统的测试安全。 | 5 | |
系统交付(G3) | 主要核查: 通过访谈系统建设负责人,检查系统交付清单,检查系统建设文档、指导用户进行系统运维的文档、系统培训手册,检查培训记录,测评系统交付阶段规范情况。 | 5 | |
系统备案(G3) | 主要核查:是否有专门部门负责定级的相关材料、是否将相关材料备案 | 3 | |
等级测评(G3) | 主要核查:是否每年进行一次等级测评;是否在系统变更时进行等级测评,是否选择有相关资质的单位进行测评等等。 | 4 | |
安全服务商选 择(G3) | 主要核查: 通过访谈系统建设负责人,检查是否具有与安全服务商签订的安全责任合同书或保密协议等文档,检查是否具有与安全服务商签订的服务合同,测评安全服务商选择安全协议等安全措施是否规范。 | 3 | |
系统运维管理 | 环境管理(G3) | 主要核查: 通过访谈系统运维负责人,访谈安全主管,检查机房安全管理制度,检查机房基础设施维护记录,测评系统换件管理措施是否到位,检查机房布线系统及机房管理 | 4 |
资产管理(G3) | 主要核查: 通过访谈安全主管,检查资产清单,检查资产安全管理制度,测评资产管理是否规范。 | 4 | |
介质管理(G3) | 主要核查: 通过访谈资产管理员,检查介质管理记录,检查介质,测评介质管理是否规范。 | 6 | |
设备管理(G3) | 主要核查: 通过访谈资产管理员,访谈安全审计员,检查设备安全管理制度,检查设备使用管理文档,检查关键设备(包括备份和冗余设备)的操作规程,测评设备管理规范性。 | 5 | |
监控管理和安全管理中心(G3) | 主要核查:是否对网络流量、用户行为等进行检测和报警;是否对监测和报警记录进行分析,形成报告;是否建立安全管理中心,对设备状态,安全审计等进行集中管理 | 3 | |
网络安全管理(G3) | 主要核查: 通过访谈安全主管,访谈网络管理员,访谈安全管理员,检查网络漏洞扫描报告,检查网络安全管理制度,检查内部网络外联的授权批准书,检查网络设备配置文件的备份文件,检查是否具有网络审计日志,测评网络管理规范性 | 8 | |
系统安全管理(G3) | 主要核查: 通过访谈系统管理员,访谈安全管理员,检查系统安全管理制度,检查是否有详细操作日志,检查定期对运行日志和审计结果进行分析的记录,检查系统漏洞扫描报告,测评系统安全管理的能力。 | 7 | |
恶意代码防范管理(G3) | 主要核查: 通过访谈系统运维负责人,访谈系统运维负责人,检查恶意代码防范管理文档,检查恶意代码检测记录,测评恶意代码防范管理能力。 | 4 | |
密码管理(G3) | 主要核查: 通过访谈安全管理员,测评密码管理措施是否规范 | 1 | |
变更管理(G3) | 主要核查: 通过访谈系统运维负责人,检查系统变更方案,检查重要系统的变更申请书,测评系统变更管理能力 | 4 | |
备份与恢复管理(G3) | 主要核查: 通过访谈系统管理员、数据库管理员和网络管理员,检查备份管理文档,检查数据备份和恢复策略文档,测评系统备份与恢复管理的能力。 | 5 | |
安全事件处置(G3) | 主要核查: 通过访谈系统运维负责人,检查安全事件报告和处置管理制度,检查安全事件定级文档,检查安全事件记录分析文档,测评安全事件处置能力。 | 6 | |
应急预案管理(G3) | 主要核查: 通过访谈系统运维负责人,检查应急预案框架,检查根据应急预案框架制定的不同事件的应急预案,检查应急预案培训记录,测评应急预案管理能力。 | 6 | |
合计 |
| 73 | 290 |
项目进度与项目实际规则有关,以下时间只做参考。
项目 | 任务 | 时间安排 | 是否需要配合 | 交付物 |
定级备案 | 信息系统梳理与定级 | 1 工作日 | 需要配合 |
|
编写定级报告及备案表 |
| |||
协助去公安备案 | 1 工作日 | 需要配合 |
| |
测评准备 | 信息收集与分析 | 1 工作日 | 需要配合 |
|
工具和表单准备 | 1 工作日 | 否 |
| |
方案编制 | 测评对象确定 | 1 工作日 | 否 | 《等保测评方 案》 |
测评指标确定 | ||||
测评内容确定 | ||||
测评工具接入点 | ||||
测评指导书开发 | ||||
测评方案编制 | ||||
现场测评 | 测评实施准备 | 3~5 工作日 | 需要配合 | 《信息安全整 改建议书》 |
现场测评和结果记录 | ||||
结果确认和资料返还 | ||||
出具整改建议 | 2 工作日 | 否 | ||
整改回归 | 整改 | 根据客户实际情况 | 我方处理 |
|
测评回归 | 1~2 工作日 | 需要配合 | ||
分析与报告编制 | 单项测评结果判定 | 5~7 工作日 | 否 | 《信息系统安 全等级保护测 评报告》 |
单元结果判定 | ||||
整体测评 | ||||
风险分析 | ||||
等级测评结论形成 | ||||
测评报告编制 |
为了加强和规范网络安全管理工作,保护信息系统和基础设施的运行安全,提高网络安全防护能力,根据《网络安全法》、《信息安全等级保护管理办法》等法律法规要求申请开展信息安全等级保护测评工作。
1、按照《网络安全法》第二十一条要求 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
2、按照《中关村信息安全测评联盟等级测评项目收费指导意见》及各省公安厅指导意见,二级信息系统等级测评收费及三级信息系统等级测评收费各不相同,欢迎垂询。
在信息系统安全测评项目实施过程中,对服务质量进行全面的监督控制。测评或测量用的设备或仪器在使用前必须经过核查或校准。工作人员必须具备本实验室规定的专业知识和能力要求。测评中记录数据时,记录的字迹必须清晰、数据必须准确。测评完毕,测评人员将测试的原始记录或数据保存好,并整理成测评(测试)报告附件,如“测试数据记录”等,并作为编写“测评(测试)报告”的依据,具体按实验室的《测评报告的控制程序》执行。
在信息系统安全测评项目实施过程中,本实验室承诺保护客户的机密信息和所有权。客户提供的以及在测评活动中对受检系统的标准、方法、技术要求和图纸、工艺文件、说明书、程序、系统内运行文件和数据以及委托合同和协议等与测评有关的所有文件及测评结果均应纳入保密范畴,本实验室应由专人负责逐一登记控制并为其严格保守秘密,保护客户所有权的完整性。在能力验证时,也应给予参加实验室及客户以保密。本实验室承诺对由我方工作失误所造成的不良后果承担法律责任。
为了保密和保护客户所有权,本实验室执行《保密和保护所有权程序》。
以上信息是帮企行为企易打造的整体服务方案,希望更多的合作单位与我们共创信息安全。咨询热线:400-6677-951.
