金融行业信息系统信息安全等级保护测评指南

金融行业信息系统信息安全等级保护测评指南

ID:37303750

大小:1.25 MB

页数:24页

时间:2019-05-21

金融行业信息系统信息安全等级保护测评指南_第1页
金融行业信息系统信息安全等级保护测评指南_第2页
金融行业信息系统信息安全等级保护测评指南_第3页
金融行业信息系统信息安全等级保护测评指南_第4页
金融行业信息系统信息安全等级保护测评指南_第5页
资源描述:

《金融行业信息系统信息安全等级保护测评指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、金融标准化宣贯材料之十二《金融行业信息系统信息安全等级保护测评指南》介绍测评指南与其他标准的关联性分析国家《信息国家《信息金融行金融可操作性强系统安全等系统安全等业实施行业的测评方法/级保护测评级保护测评指引特点检查表过程指南》要求》金融行业等保测评指南测评指南知识要点一、测评指南整体介绍二、等级测评方法及内容介绍一、测评指南整体介绍目的测评指南作为一个对信息系统实施等级测评的指南性文件,其作用是介绍和描述实施信息系统等级测评过程中应该涉及的活动和从事的工作任务,通过活动和任务的介绍,使读者了解和知晓对信息系统实施

2、等级测评的过程和内容,不同的角色在不同活动的作用,不同活动的参与角色、活动内容、输出文档等等。与实施指引的关系《测评指南》阐述了《实施指引》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《实施指引》。《测评指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用测评要求提出了指导建议。二者共同指导等级测评工作。一、测评指南整体介绍外部驱动信息安全等级保护管理办法(公通字【2007】43号)第十四条信息系统建设完成后

3、,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。内部驱动确定当前安全保护能力水平找出差距,明确需求提高我行信息安全防御水平为后续的工作提供参考和依据一、测评指南整体介绍等级测评与其他测评的不同目的不同:标准符合性测评性质不同:《管理办法》强制周期性执行执行对象不同:已经确定等级的信息系统内容不同:依据《基本要求》和《测评要求》结果不同:符合、基本符合、不符合。测评指南知识要点一、测评指南整体介绍二、等

4、级测评方法及内容介绍二、等级测评方法及内容介绍等级测评方法访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。测试是指测评人员使用预定的方法/工具使测评对象(各类设备戒安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。二、等级测评方法及内容介绍—等级测评方法访谈对象适用情况作用对技术要求,使用‘访谈’作用一:了

5、解基本情方法迚行测评的目的是为了了况,作为下一步测评工访谈的对象是人解信息系统的全局性(包括局作的基础;员。典型的访谈部,但不是细节)、方向/策略作用二:访谈结果作人员包括:信息性和过程性信息,一般不涉及为判断其他几种测评方安全主管、信息到具体的实现细节和具体技术式所得到证据是否一致;系统安全管理员、措施,在遇到优势证据时,最作用三:作为相关管系统管理员、网弱。理方面实现要求是否的络管理员、资产对管理要求,访谈的内容应直接证据。管理员等。该较为详细和明确。二、等级测评方法及内容介绍—等级测评方法检查对象适用情况对技术

6、要求,‘检查’的内容应该是具体的、包括:文档、各类设备、较为详细的机制配置和运行实现。安全配置、机房、存储介对管理要求,‘检查’方法主要用亍规范性要质等。求(检查文档)。测试对象适用情况测试一般需要借助特定工具:扫描检测工具包括:机制和设备等压力测试工具渗透工具二、等级测评方法及内容介绍等级测评内容等级测评包括:单元测评整体测评二、等级测评方法及内容介绍—等级测评内容单元测评定级系统涉及的服务器网络设备安全设备存储设备机房人员文档介质(制度类、规程类、记录/证据类等)二、等级测评方法及内容介绍—等级

7、测评内容单元测评——物理层面支持信息系统运行的设施环境和构成信息系统的硬件设备和介质在在物理层面的安全。测评对象包括:机房(含各类基础设备)存储介质安全管理人员/文档管理员文档(制度类、规程类、记录/证据类等)二、等级测评方法及内容介绍—等级测评内容单元测评——网络层面网络层面构成组件负责支撑信息系统迚行网络互联,为信息系统各个构成组件迚行安全通信传输,一般包括网络设备、连接线路以及它们构成的网络拓扑等。测评对象:网络互联设备网络安全设备网络管理平台网络边界公用设备二、等级测评方法及内容介绍—等级测

8、评内容单元测评——系统及数据层面系统层面主要是指主机系统,构成组件有服务器、控制终端/工作站等计算机设备,包括他们的操作系统、数据库系统及其相关环境等;操作系统:如Windows/IBMAIX/HPUNIX系列/Linux系列等;数据库管理系统,如DB2/Oracle/Sybase/

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。