1、工作流程
各阶段实施过程中,可参考的规范性标准依据如下:
系统定级阶段:《信息系统安全保护等级定级指南》
安全保护:《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》
检测评估:《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、相关行业标准、用户自身业务安全需求
监督检查:《信息系统安全等级保护监督检查要求》
2、等级保护要求--技术要求和管理要求
一级:具有15个技术目标,16个管理目标;
二级:具有29个技术目标,25个管理目标;
三级:具有36个技术目标,27个管理目标;
四级:具有41个技术目标,28个管理目标。
3、测评机构可以开展的业务
定级咨询、备案指导。
差距评估:根据信息系统安全等级保护要求基线,制定差距评估方案,并现场开展差距测评。
安全整改指导:针对评估中发现的不符合性给出具体可以实施的修复建议,并指导整改落实。
完成等保定级测评,出具定级测评报告。
根据需要提供后续年度安全测评服务。
4、现场评估工作方式
配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。
工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。
人员访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按调查模版要求进行面对面访谈。
资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
小组评议----组织小组成员运用恰当的风险分析方法进行集体会诊评议。
