|
|
|
| 当前位置 - 专项业务 >
等级测评 >
业务介绍
|
 |
|
|
|
|
信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。
信息系统安全等级测评内容:
技术安全测评:包括物理安全、网络安全、主机安全、数据安全、应用安全;
管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;
综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。
测评依据:
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《北京市政务与公共服务信息化工程建设管理办法》(市政府第67号令)
《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)
《北京市信息化促进条例》(市人大常委第63号令)
《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[2004]3号)
北京市信息化工作领导小组关于印发《关于加强北京市重要政务信息系统信息安全管理的意见》的通知(京信发[2007]7号)
《关于本市各级党政机关网络与信息系统开展安全等级保护工作的通知》(京信息办函[2004]72号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《北京市关于开展信息安全等级保护工作的实施方案》 京公网监字〔2007〕788号
《北京市党政机关计算机网络与信息安全管理办法》
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)
《信息系统安全等级保护测评准则(送审稿)》
《电子政务信息安全保障技术框架》
定级报告
安全方案
信息系统安全等级测评过程:
共分为申请受理、准备、实施、评估、结题五个阶段,参见测评流程图。
申请受理阶段:售前与委托单位就等级测评项目进行前期沟通,签署《保密协议》,接收委托单位提交的资料,协助委托单位提交《信息系统安全等级测评申请书》,必要时由中心技术部门为委托单位提供技术咨询。前期沟通结束后,双方签署《信息系统安全等级测评合同》。
准备阶段:项目进场实施前的准备工作,主要由项目经理负责。项目经理组织召开由双方参与的首次工作安排会议、编写制定《信息系统安全等级测评方案》和《信息系统安全等级保护测评项目报告书》。报告书撰写完成后统一报送北京市信息安全等级保护办公室备案。项目经理在与客户确定现场核查测试的具体日期、客户方配合的人员、现场配合等注意事项后方可准备进场实施测试。
实施阶段:项目组成员进入客户现场实施现场检查工作。现场检测时,由项目经理提出测评工作要求,明确项目组成员承担的测试内容,检测人员填写《现场检测表》。
评估阶段:项目组依据核查测试数据,形成检测结果汇总表,并根据检测结果编写《信息系统安全等级测评报告》,形成等级测评意见。若在检测过程中发现有不符合项,则编写《信息系统安全等级核查测试报告》提交客户,由客户对不符合项进行整改并提交《信息系统等级测评整改报告》。项目组依据《信息系统安全等级测评整改报告》编写《信息系统安全等级测评复测记录表》并进行复测,复测合格后出具《信息系统安全等级测评报告》。若被测系统安全等级在三级以上(含三级),中心将组织外部专家组对《信息系统安全等级测评报告》进行评审,填写《信息系统安全等级测评报告评审意见》。项目组根据《信息系统安全等级测评报告评审意见》,调整该系统的等级测评结果和结论,形成完整的《信息系统安全等级测评报告》。
结题阶段:由项目经理组织撰写《信息系统安全等级保护测评完成项目报告书》,并统一上报北京市信息安全等级保护办公室备案。项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。
|
|
|
|
|
