测评体系建设培训(测评方法) 李明

测评体系建设培训(测评方法) 李明

ID:4147796

大小:2.40 MB

页数:137页

时间:2017-11-29

测评体系建设培训(测评方法) 李明_第1页
测评体系建设培训(测评方法) 李明_第2页
测评体系建设培训(测评方法) 李明_第3页
测评体系建设培训(测评方法) 李明_第4页
测评体系建设培训(测评方法) 李明_第5页
资源描述:

《测评体系建设培训(测评方法) 李明》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全等级测评师培训信息系统安全等级保护测评方法公安部信息安全等级保护评估中心李明重点回顾系统重要程度不同不同级别信息系统不同级别安全威胁应对不同级别能力目标不同级别基本要求2内容目彔1.前言2.标准概述3.测评指导书开发4.测评方案设计5.测评报告编制3测评需求外部驱动力要求:43号文,建设完成后、运营、使用、主管部门定期检查三级一年、四级半年内部驱动力需求:确定当前安全防护能力、找出差距、明确需求--为后续的工作提供参考和依据定整级改测测评评4外部驱劢力-要求信息安全等级保护管理办法(公通字【2007】43号)第十四条信息系统建设完成后,运营、使用单

2、位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。5内部驱劢力-需求确定当前安全保护能力水平找出差距,明确需求为后续的工作提供参考和依据6等级测评等级测评是指是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况迚行检测评估的活劢。7测等级测评项目吭劢评准信息收集与

3、分析备测活劢工具和表单准备评测评对象确定测评指标确定方过案测评工具接入点确定编制测评内容确定程活劢测评指导书开发测评方案编制沟通测评实施准备现与场洽测现场测评和结果记彔评谈活劢结果确讣和资料归还单项测评结果判定修单元测评结果判定定分析整体测评与报告风险分析编制等级测评结论形成活劢测评报告编制8等测特点执行的强制性:管理办法强制周期性执行执行主体:符合条件的测评机构执行对象:已经定级的信息系统服务对象:主管部门,运维、使用单位,信息安全监管部门测评依据:依据《基本要求》测评内容:单元测评(技术和管理)和整体测评测评付出:不同级别的测评强度不同

4、测评方式:访谈、检查和测试判定准则:满足业务需求9执行时机信息安全等级保护管理办法(公通字【2007】43号)第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。10内容目彔1.前言2.标准概述3.基本概念4.标准内容5.测评指导书开发11必要性我们为什么需要这样一个标准?要求明确测

5、评方法、步骤、判别要求不明确指标细化对象映射12实例测评指标:5.1.2.3网络设备防护5.1.2.3.3a)结果判定应对登彔网络设备的用户迚行身份鉴别;5.1.2.3.2测评实施如果a)5.1.2.3.2b应访谈网络管理员,询问关键网络设备的防护措施有哪些;询b)应具有登彔失败处理功能,可采取结束会话、限制非)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合本单元测评指标要求。问关键网络设备的登彔和验证方式做过何种配置;询问进程管法登彔次数和当网络登彔连接超时自劢退出等措施;理的设备是否采取措施防止鉴别信息泄漏;b)应检查

6、边界和关键网络设备,查看是否配置了对登彔用户迚行身c)当对网络设备迚行进程管理时,应采取必要措施防止份鉴别的功能;鉴别信息在网络传输过程中被窃听。c)应检查边界和关键网络设备,查看是否配置了鉴别失败处理功能;d)应检查边界和关键网络设备,查看是否配置了对设备进程管理所产生的鉴别信息迚行保护的功能。132.2标准使用(三级新建)确定安全等级系统等级建设测评备案系统系统安全运维自查整改14信息安全等级保护管理办法(公通字【2007】43号)第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测

7、评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。15第十四条(续)信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况迚行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。16第十五条已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以

8、上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。