等保行业知识问题.docx
《等保行业知识问题.docx》由会员分享,可在线阅读,更多相关《等保行业知识问题.docx(13页珍藏版)》请在冰豆网上搜索。
等保行业知识问题
一.等保行业知识
1.什么是信息安全等级保护?
答:
根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息安全等级保护的实施原则是什么?
根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:
自主保护原则:
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:
要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
3.信息安全等级保护的技术要求是什么?
等级保护检查项分两大类,共10项
技术要求:
1.物理安全
2.网络安全
3.主机安全
4.应用安全
管理要求:
1.安全管理制度
2.安全管理机构
3.人员安全管理
4.系统建设管理
5.系统运维管理
4.信息安全测评是什么?
信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动.
等级测评体系建设主要内容包括测评机构的建设和规范管理,测评人员和测评活动的规范管理等。
信息安全等级保护测评工作是信息安全等级保护工作的重要环节,是专门机构针对信息系统开展的一种专业性、服务性的检测活动。
等级测评工作涉及的信息系统范围广、敏感性强,参与的测评机构及测评人员复杂,如果缺乏对测评机构和测评人员的管理,则难以保证等级测评的客观、公正和安全,甚至会给重要信息系统安全造成新的风险和隐患,危害国家安全和社会稳定。
为加强对测评机构及测评人员管理,稳步推进等级测评机构建设,规范等级测评活动,提高测评机构、人员的技术能力和水平,在国家信息安全等级保护协调小组的领导下,全国组织开展信息安全等级保护等级测评体系建设工作,以保障等级保护工作的顺利开展。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,山东省软件评测中心作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
5.信息安全等级保护测评机构是做什么的?
信息安全等级保护测评机构(简称“等保测评机构”)依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
工作要求:
从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和本规范的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
6.信息系统安全等级保护测评流程是什么?
信息系统安全等级保护测评准备活动的工作流程:
信息系统安全等级保护测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。
这三项任务的基本工作流程见下图:
7.等级保护和分级保护有什么区别?
涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
分保是针对涉密网来说,等保是针对非涉密网来说。
并且分保是由国家保密局发起的,推广带有强制性的。
等保是公安部门发起的,执行力相对分保要弱一点。
8.信息安全等级保护的政策标准依据?
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)
(“第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)
计算机信息系统安全保护等级划分准则(GB17859-1999)
(“第一级:
用户自主保护级;
第二级:
系统审计保护级;
第四级:
结构化保护级;
第五级:
访问验证保护级”)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利网络与信息安全体系建设基本技术要求(2010年3月)
证券期货业信息系统安全等级保护基本要求(试行)(JR/T0060-2010)
山西省计算机信息系统安全保护条例(2009年1月) 广东省计算机信息系统安全保护条例(2008年4月)
宁夏回族自治区计算机信息系统安全保护条例(2009年10月)
徐州市计算机信息系统安全保护条例(2009年1月)
9.中国信息保护等级保护能力是什么?
保护的对象是那些?
能力就是保护信息系统达到相应等级的安全,是依照《信息安全等级保护基本要求》这个标准,按照相应等级需要达到的安全要求进行保护,保护对象就是信息系统。
10.信息安全等级保护各级别的区别?
等级保护共分为五级,1级防护水平最低,5级最高。
一般企业多定一级和二级居多(二级自测评,备案即可),核心系统三级(三级由外部测评机构每年测评并备案)。
国企和大型企业的重要系统才会定级为四级(如铁路局售票系统),但是很少。
安全级别越来越高是肯定的。
但是不管是几级的系统,它所要求防护的5大方面都是一样的,只是这5大方面的要求细节,会按照安全级别的不同,具体要求不同,级别越高,防护措施要求越严格。
11.等级保护测评如何打分?
分为单项测评结果、单元测评结果和整体测评结果三部分,最终的结果是整体测评结果
不存在打分,是符合情况判断,只有符合、部分符合和不符合三种情况,这三种情况出现在单项测评和单元测评结果中,最终的测评结果只有符合、基本符合和不符合三种情况。
最终测评结果的来源是单项测评和单元测评结果中不符合项在进行整体分析后,如果存在可能导致高风险的不符合项,则最终测评结果为不符合,如果没有高风险不符合项则为基本符合,如果没有任何不符合项最终测评结果则为符合!
12.等级保护工作开展的基本流程是什么?
先要协助企业进行信息系统定级,写完定级报告和备案表以后送市网监去备案,备案完以后才能正式开展工作。
商谈日程签保密协议,接下来根据系统级别编写测评指导书准备器材安排工作,准备好以后就根据测评指导书去现场进行测评,测评完成后根据结果编写成测评报告。
部分企业会要求协助整改,根据实际情况。
产品知识。
13.等级保护明确重点,突出重点,保护重点如何解释?
1、明确国家或各领域重要信息系统,即第三级及以上信息系统;
2、突出第三级及以上信息系统重要安全风险,进行重点整改防护及监管;
3、保护重点就是重点针对第三级及以上系统进行重点防护及资金等更方面支撑;
4、这三句话重点想表明及实现国家对信息安全防护应有相应的侧重点,重点防护涉及到国家安全及社会民生稳定的重要信息系统,做到重点投入,避免重复建设及无限投入的情况发生,这也是国家实施等级保护的重要目的!
14.信息安全等级保护二级的认证(等保二级)的流程?
有五个步骤,定级、备案、整改、测评、检查
针对要测评的系统,到网安要定级报告模板和备案表,编制定级报告,填写备案表,然后交网安部门,这就是定级备案两个动作。
根据等级保护基本要求的2级要求项,对系统进行整改,让系统能符合这些要求。
这是整改。
委托公安部认可的等级保护测评机构进行测评,出具测评报告,交网安。
15.信息安全等级保护测评工具?
等保这个和风险评估类似,都是搞人工测评,访谈、渗透、测试为主,工具类只能做为一个周期性的,日常运维使用。
完整的等级测评过程分为四个基本测评活动:
测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
16.公安部信息安全等级保护评估中心是干什么的?
公安部信息安全等级保护评估中心(以下简称为评估中心)成立于2003年7月28日,是依托公安部第三研究所,由国家信息安全主管部门为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。
评估中心的主要任务:
一是按照国家信息安全等级保护的要求,依据信息安全等级保护的相关标准和规范,为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持;二是对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议;三是作为国家实行信息安全等级保护制度的骨干技术支撑单位,负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。
评估中心作为依照国家标准(CNAL/AC01:
2005)和国家信息安全主管部门授权建立的专业技术机构,相继获得了中国实验室国家认可委员会(CNAL)的实验室认可证书(L0653)及中国国家认证认可监督管理委员会颁发的计量认证合格证书(L2407)。
17.信息系统安全等级保护定级工作是一项什么样的工作?
需要做哪些工作?
等级保护中要求各单位首先要对自己的信息安全级别进行定级。
分为5种级别,自己单位是什么级别,要根据自己单位的情况、同行业其他公司的情况、上级主管部门的意见。
需要做的工作是去公安部门备案,领取备案表,表上有具体要求,介绍自己单位信息安全的情况等等。
填完之后交给公安部门报备即可。
未来会按照你定级的标准,国家会强制性要求你对信息安全的建设。
所以定级尽量往低了定,实际上主管部门都会给出要求的。
18.信息系统的信息安全等级保护的测评是必须的吗?
有没有专门的出台了法律法规监管细则规范了这件事?
根据《信息安全等级保护管理办法》:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。
保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。
第三级以上信息系统运营、使用单位违反规定,未按规定开展系统安全技术测评的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
19.信息系统安全等级保护第二级是否有ABC的划分,区别在哪里?
没有ABC的划分,而是ASG的划分。
根据系统服务保证性等级选择相应等级的系统服务保证类(A类)基本安全要求;
根据业务信息安全性等级选择相应等级的业务信息安全类(S类)基本安全要求;
G类属于通用基本要求。
当系统服务类(A类)达到二级,业务信息类(S类)达到二级时,信息系统定为二级;
当系统服务类(A类)达到二级,业务信息类(S类)达到一级时,就高不就低,信息系统定为二级;
当系统服务类(A类)达到一级,业务信息类(S类)达到二级时,就高不就低,信息系统定为二级;
这种定级方式在起草《定级报告》时会有所体现
具体内容请参考《信息安全等级保护定级指南》和《信息安全等级保护基本要求》
20.哪些单位是做等级保护,哪些单位是做分级保护?
等级保护是保护信息系统的安全,免受破坏等,其监管部门是公安部门;分级保护是保密,主要是针对涉密系统,属于保密局管。
所有系统都要求做等级保护,因为这是国家要求的。
而其中的涉密系统除了做等级保护外,还要做分级保护,这也是国家要求的。
你说的政府和检察院都是国家机关,自然所有信息系统都要通过等保,而其中的涉密系统还必须通过分保。
21.等级保护二级有多少个检查点?
三级有多少个检查点?
二级控制点66个,要求项175;三级控制点73个,要求项290个,这是针对每一个要求进行检查的。
举个例:
1.1.1物理安全这是类
1.1.1.1物理位置的选择(G3)这是控制点
本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;--要求项
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
--要求项
要求项就是详细的要求。
也是等保的核心,每个等级的要求项是一种越来越高的要求,1级最低,二级在一级的基础上要求的更高,三级又更多和更高的要求。
22.如何进行信息系统安全等级保护备案?
所谓的网络安全警察应该就是网监吧(现在叫网安),本身就是公安局里的。
材料需要的是定级报告(每个系统一个)和备案表,这些可以找网安支队要。
流程就是根据自己单位的信息系统被损坏后造成的后果如何来确定等级,然后填写上面说的定级报告(网安有模板的)和备案表,之后就是备案表上盖章,交网安支队备案,评审通过后你单位会得到一份备案证明。
备案后要进行测评,检测你的信息系统是否达到该等级的保护基本要求,这要委托第三方机构(要有公安部等保认证资质的机构)来进行测评(比如我们机构啦),通过测评找出不安全因素,解决它,然后机构给你测评报告,交公安,符合的话,恭喜你,你们的信息系统符合国家信息系统安全等级保护基本要求了。
第一步:
定级
定级的依据就是你提到的《信息系统安全等级保护定级指南》。
定级的原则是“自主定级”,因为系统在遭受破坏后造成多大影响自己最清楚。
确定等级后起草“定级报告”。
第二步:
准备备案材料
备案所需材料主要是《信息安全等级保护备案表》,备案表模版XX文库里可以搜到。
每个系统填写一份备案表,其中二级系统只需要填写备案表的表一、表二和表三;三级系统需要填写表一、表二、表三和表四。
第三步:
等级测评
二级系统不需要进行等级测评即可进行备案;三级系统需要有资质的测评机构进行测评并出具测评报告,测评报告作为备案材料之一(备案表表四中有明确说明)进行备案。
第四步:
提交备案材料
将《信息安全等级保护备案表》打印一式两份盖章,连同一份电子版提交到当地地市级以上公安局网监支队(现在叫网安支队),在审批结束后会为你出具《信息安全等保保护备案证明》,备案工作结束。
23.《等级保护数据库管理技术要求》中对数据库审计有什么说明吗?
《等级保护数据库管理技术要求》
第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:
建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
需购买数据库安全审计系统。
二.产品知识
1.什么是等级保护检查工具箱?
是一款专为行业单位研发的等级保护检查支撑工具。
该产品依据信息安全等级保护国家标准及行业标准设计和开发,融入了等级保护领域积累的咨询服务经验和等级保护管理工具开发经验,可为行业单位等级保护自查工作的执行提供专业化的技术支撑,指导并协助检查人员快速、高效地开展信息安全等级保护自查工作,提升工作效率,提高检查质量。
2.等级保护检查工具箱能解决什么事情?
为行业单位提供专业的自查工具
提高上级部门对行业单位自查结果的认可度
为重要信息系统的整改提供依据
帮助行业单位了解信息系统的真实安全情况和发展态势
为行业单位提供统一的检查结果管理平台
减少行业单位传统自查方法中大量的人工操作
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求
升级会员 