文档介绍:等级保护测评保障方案
根据公安部出台的有关等级保护的政策,对信息系统的等级保护 已经是国家的一项基本国策和信息安全的基本保障,同时等级保护工 作的开展也是各行各业信息化建设的内在需求。
等级保护测评的目的在于对当前建设的信息系统的安全防护能 力做出客观评价。通过对安全物理环境、安全通信网络、安全区域边 界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、 安全管理人员、安全建设管理、安全运维管理20个方面的安全检查, 以国家信息安全等级保护基本要求作为安全基线,进行客观符合性判 定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和 风险所在,为将来的安全整改和安全建设提供有力依据。
我公司在本次项目开始实施前, 在项目实施阶段、测评阶段提供完善的测评文档和技术文档,并协助 用户在整个测评过程中提供任何所需的技术支持服务。保证顺利通过 (三级)测评。
•测评流程
整个测评项目的实施主要分为现场测评和复测评,具体流程参见 下图所示。
不符令
格本rr合
《寿Mi报苗》 «鞅eft力秦》
其中现场测评分为四个阶段:
一、 测评准备活动阶段;
二、 方案编制活动阶段;
三、 现场测评活动阶段;
四、 分析和报告编制活动阶段。
复测评分为三个阶段:
一、 安全整改活动阶段;
二、 复测评活动阶段;
三、 分析和报告编制活动阶段。
1・2 •现场测评
根据《信息安全技术网络安全等级保护测评要求》
(GB/T8448-2019),具体测评内容具体分为安全物理环境、安全通信 网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、 安全管理机构、安全管理人员、安全建设管理、安全运维管理10个 方面的内容。
其中涉及与技术层面相关的安全物理环境、安全通信网络、安全 区域边界、安全计算环境、安全管理中心
5个方面的内容,由我公司 协助提供相应的技术文档和现场测评的技术支持。涉及与管理层面相 关的安全管理制度、安全管理机构、安全管理人员、安全建设管理、 安全运维管理5个方面的内容,由我公司配合用户,提供指导建议, 并协助完成相关内容建设。
主要通过访谈和检查的方式评测信息系统的物理安全保障情况。 主要涉及对象为机房。在内容上,测评实施过程涉及以下几个安全子 类:
序号
安全子类
测评指标描述
1
物理位置的
选择
检查机房,测评机房物理场所在位置上是否具有防震、 防风和防雨等多方面的安全防范能力。
2
物理访问控
制
检查机房出入口等过程控制,测评信息系统在物理访问 控制方面的安全防范能力。
3
防盗窃和防
破坏
检查机房内的主要设备、介质和防盗报警设施等过程, 测评信息系统是否采取必要的措施预防设备、介质等丢 失和被破坏。
4
防雷击
检查机房设计/验收文档,测评信息系统是否采取相应 的措施预防雷击。
5
防火
检查机房防火方面的安全管理制度,检查机房防火设备 等过程,测评信息系统是否采取必要的措施防止火灾的
发生。
6
防水和防潮
检查机房及其除潮设备等过程,测评信息系统是否采取 必要措施来防止水灾和机房潮湿。
7
防静