欢迎来到天天文库
浏览记录
ID:7291156
大小:1.53 MB
页数:16页
时间:2018-02-10
《信息系统安全测评》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息系统安全测评业务白皮书中国信息安全测评中心2008年8月第1章信息系统安全测评信息系统安全是关乎国家稳定、企业生存与发展的重大课题,在信息技术日益发展的今天,如何通过信息系统安全测评工作,最大限度使组织结构预知存在的安全隐患,最大限度地保证国家重要基础设施和重点行业的安全稳定运营,已经成为当前我国信息安全工作的重点。信息技术作为支撑企业业务服务的重要基础性设施,直接影响组织机构的对外服务。是否可以通过主动地、定期地系统安全测评,做到事前规避?现实情况是很多组织机构在信息安全测评工作方面还存在巨
2、大的误区和盲区。信息系统安全测评工作成为组织机构信息系统建设、运营过程中的短板。中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作。开展信息系统安全测评工作,旨在引入信息系统安全测评方法,利用先进技术测试手段、风险度量方法和切实的测评角度,确保组织机构将安全风险降低到可接受的程度,从而保障其业务安全稳定运营。第1章测评类型信息系统安全测评致力于为国家重要行业、部委提供科学、客观、规范、务实的安全评估套餐式服务,经过长期的标准研究、工具探索、项目
3、实践以及众多信息安全专家的反复论证,现已形成系列服务产品,包括:1、信息安全风险评估2、信息系统安全等级保护测评3、信息系统安全评估4、远程渗透测试5、信息系统安全监控6、信息系统安全方案评审1.1信息安全风险评估1.1.1评估目标由我中心高级测评工程师和咨询专家共同组成的评估团队,采用众多漏洞测试工具和工作模版,从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息
4、安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。1.1.2适用对象具有风险管理意识,关注信息系统安全风险的国家重要行业、部委。1.1.3评估依据1、GB/T20984《信息安全风险评估规范》2、GB/T20274《信息系统安全保障评估框架》3、行业信息安全标准4、用户自身业务安全需求1.1.1评估流程1.1.2评估内容评估信息系统存在的高中低风险的数量、可能性、影响。主要从安全技术和安全管理两个角度:l安全技术n网络层安全n主机系统层安全n应用层安全n数据安全l安全管
5、理n安全管理组织机构n安全管理制度n人员安全管理n系统建设管理n系统运维管理n物理安全1.1.1评估方式配置核查----由测评人员在委托单位现场根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方
6、法进行。专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。1.1.2评估成果我中心向委托机构提交《信息系统安全风险评估报告》,报告中包含整改建议。1.2信息系统安全等级保护测评1.2.1评估目标由我中心高级测评工程师组成的评估团队,依据公安部《信息系统安全等级保护测评准则》中与信息系统备案等级相对应的测评项,进行信息系统安全等级符合性测评,出具是否满足信息系统安全保护等级的测评结论。1.2.2适用对象致力于国家信息系统安全等级保护测评工作的国家重要行业、部委。1.2.3评估
7、依据1、《信息系统安全保护等级测评准则》2、行业信息安全标准3、用户自身业务安全需求1.1.1评估流程1.1.2评估内容主要从安全技术和安全管理两个角度:l安全技术n网络层安全n主机系统层安全n应用层安全n数据安全l安全管理n安全管理组织机构n安全管理制度n人员安全管理n系统建设管理n系统运维管理n物理安全1.1.1评估方式配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。专家访谈----由
8、资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。1.1.2评估成果我中心向委托机构提交《信息系统安全等级保护测评报告》,报告中包含整改建议。1.2信息系统安全评估1.2.1评估目标由我中心高级测评工程师组成的评估团队,依据GB/T20274信息
此文档下载收益归作者所有