网络安全等级保护测评实施-3.pdf
《网络安全等级保护测评实施-3.pdf》由会员分享,可在线阅读,更多相关《网络安全等级保护测评实施-3.pdf(89页珍藏版)》请在冰豆网上搜索。
网络安全等级保护测评实施公安部信息安全等级保护评估公安部信息安全等级保护评估中心中心马力马力1安全等级保护培训安全等级保护培训目录2等级测评使用的主要标准311等级测评采用的标准流程322新标准下等级测评的变化333重点关注内容解读(通用部分)344一、等级测评使用的主要标准3等级测评主要参照的标准信息系统安全等级保护基本要求GB/T22239GB/T22239-20082008网络安全等级保护基本要求GB/T22239GB/T22239-XXXXXXXX信息系统安全等级保护测评要求GB/T28448GB/T28448-20122012网络安全等级保护测评要求GB/T28448GB/T28448-XXXXXXXX信息系统安全等级保护测评过程指南GB/T28449GB/T28449-20122012网络安全等级保护测评过程指南GB/T28449GB/T28449-XXXXXXXX标准修订工作里程碑52013年年12月月成立标准编制组成立标准编制组调研国内外其他标准调研国内外其他标准研究新技术、新应用研究新技术、新应用第第1部分:
通用安全测评要求部分:
通用安全测评要求(公安部信息安全等级保护评估中心)(公安部信息安全等级保护评估中心)第第2部分:
云计算安全测评扩展要求部分:
云计算安全测评扩展要求(国家信息中心)(国家信息中心)第第3部分:
移动互联安全测评扩展要求部分:
移动互联安全测评扩展要求(公安部信息安全等级保护评估中心)(公安部信息安全等级保护评估中心)第第4部分:
物联网安全测评扩展要求部分:
物联网安全测评扩展要求(信息产业信息安全测评中心)(信息产业信息安全测评中心)第第5部分:
工业控制安系统安全测评扩展要求部分:
工业控制安系统安全测评扩展要求(能源局信息中心)(能源局信息中心)形成标准征求意见稿形成标准征求意见稿2014年年5月月2016年年11月月2017年年4月月5个分册形成标准送审稿个分册形成标准送审稿2017年年9月月形成合稿后的标准送审稿形成合稿后的标准送审稿2018年年6月月形成标准报批稿形成标准报批稿测评要求文本结构由12个章节4个附录构成1.范围2.规范性引用文件3.术语定义4.缩略语5.等级测评概述6.7.8.9.10五个等级的测评要求11.整体测评12.测评结论附录A测评力度附录B测评单元编号说明附录C设计要求测评验证表附录D测评要求和基本要求对应表6标准名称变化7+标准名称0202信息安全技术信息安全技术信息安全信息安全等级等级保护保护测评要求测评要求0101信息安全技术信息安全技术信息系统信息系统安全安全等级保护等级保护测评测评要求要求0303信息安全技术信息安全技术网络网络安全安全等级等级保护保护测评要求测评要求测评实施内容变化8测评要求。
测评要求。
旧版标准:
针对云计算、移动互联、物联网和工业控制系统提出了针对云计算、移动互联、物联网和工业控制系统提出了特殊安全测评要求。
特殊安全测评要求。
安全测评扩展要求安全测评通用要求安全测评通用要求和和安全测评扩展要求安全测评扩展要求。
新版标准:
不管等级保护对象形态,均需使用通用测评要求。
不管等级保护对象形态,均需使用通用测评要求。
安全测评通用要求01010202测评实施内容变化9某级测评要求某级测评要求安全测评通用要求安全测评通用要求云计算安全测评扩展要求云计算安全测评扩展要求移动互联安全测评扩展要求移动互联安全测评扩展要求物联网安全测评扩展要求物联网安全测评扩展要求工业控制系统安全测评扩展工业控制系统安全测评扩展要求要求某级安全要求某级安全要求安全通用要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制系统安全扩展要求增加等级测评定义等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的等级保护对象进行安全等级保护状况进行检测评估的活动。
10测评技术框架变化11GB/T28448-2012GB/T28448-20XX单元单元测评测评针对基本要求针对基本要求各安全控制点各安全控制点的测评为单元测评。
的测评为单元测评。
支持测评结果的可重复性和可支持测评结果的可重复性和可再现再现性性,由由测评指标测评指标、测评测评实施实施和和结果结果判定判定构成构成。
整体测评整体测评在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。
息系统实施的综合安全测评。
单项单项测评测评针对针对各安全要求项各安全要求项的测评,支持测评结果的可重复性和可再现性。
本标准中单项测的测评,支持测评结果的可重复性和可再现性。
本标准中单项测评由评由测评指标测评指标、测评对象测评对象、测评实施测评实施和和单元单元判定判定构成。
构成。
整体测评整体测评整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。
整体安整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。
整体安全保护能力从纵深防护和措施互补二个角度评判全保护能力从纵深防护和措施互补二个角度评判。
单元测评单项测评12单元测评单元测评针对基本要求各针对基本要求各安全控制点安全控制点的测评称为单元测评的测评称为单元测评。
单项测评单项测评针对基本要求各针对基本要求各安全要求项安全要求项的测评称为单项测评的测评称为单项测评。
单元测评单元测评(旧版标准)(旧版标准)=若干个单项测评若干个单项测评(新版标准)(新版标准)测评实施作用面不同13某级系统某级系统层面层面技术要求技术要求管理要求管理要求基本要求基本要求层面层面控制点控制点要求项要求项控制点控制点要求项要求项旧版测评要求旧版测评要求新版测评要求新版测评要求测评指标细化14GB/T28448-2012GB/T28448-20XX测评指标测评指标见见GB/T22239-20087.1.1.1。
(控制点)(控制点)测评指标测评指标机房场地应选择在具有防震、防风和防雨等能力的建筑内机房场地应选择在具有防震、防风和防雨等能力的建筑内;(要求项)(要求项)单元测评(旧版标准)157第三级信息系统单元测评第三级信息系统单元测评7.1安全技术测评安全技术测评7.1.1物理安全物理安全7.1.1.1物理位置的选择物理位置的选择7.1.1.1.1测评指标测评指标见见GB/T22239-20087.1.1.1。
7.1.1.1.2测评实施测评实施本项要求包括:
a)应访谈物理安全负责人,询问机房和办公场地所在建筑物是否具有防震、防风和防雨等能力;b)应检查是否有机房和办公场地所在建筑物抗震设防审批文档;c)应检查机房和办公场地所在建筑物是否具有防风和防雨等能力;d)应检查机房场地是否不在用水区域的垂直下方;e)如果机房场地位于建筑物的高层或地下室或用水设备的隔壁,应检查机房是否采取了防水和防潮措施。
7.1.1.1.3结果判定结果判定如果7.1.1.1.2a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
针对安全针对安全控制控制点点的测评的测评实施实施安全控制点安全控制点7第三级基本要求第三级基本要求7.1技术要求技术要求7.1.1物理安全物理安全7.1.1.1物理位置的选择(物理位置的选择(G3)本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
单项测评(新版标准)168第三级测评要求第三级测评要求8.1安全测评通用要求安全测评通用要求8.1.1物理和环境安全物理和环境安全8.1.1.1物理位置的选择物理位置的选择8.1.1.1.1测评单元(测评单元(L3-PES1-01)该测评单元包括以下要求:
a)测评指标测评指标:
机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)测评对象测评对象:
机房。
c)测评实施包括以下内容:
测评实施包括以下内容:
1)应检查所在建筑物是否具有建筑物抗震设防审批文档;2)应检查是否存在雨水渗漏;3)应检查门窗是否因风导致的尘土严重;4)应检查屋顶、墙体、门窗和地面等是否破损开裂。
d)单项判定:
单项判定:
如果1)-4)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
8.1.1.1.2测评单元(测评单元(L3-PES1-02)该测评单元包括以下要求:
a)测评指标:
测评指标:
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b)测评对象:
测评对象:
机房。
c)测评实施包括以下内容:
测评实施包括以下内容:
1)应检查是否不位于所在建筑物的顶层或地下室;2)如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
d)单项判定:
单项判定:
如果1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
针对针对要求项要求项的的测评实施测评实施由原来的安全由原来的安全控制点控制点变为变为要求项要求项新增测评对象178第三级测评要求第三级测评要求8.1安全测评通用要求安全测评通用要求8.1.1物理和环境安全物理和环境安全8.1.1.1物理位置的选择物理位置的选择8.1.1.1.1测评单元(测评单元(L3-PES1-01)该测评单元包括以下要求:
a)测评指标测评指标:
机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)测评对象测评对象:
机房。
c)测评实施包括以下内容:
测评实施包括以下内容:
1)应检查所在建筑物是否具有建筑物抗震设防审批文档;2)应检查是否存在雨水渗漏;3)应检查门窗是否因风导致的尘土严重;4)应检查屋顶、墙体、门窗和地面等是否破损开裂。
d)单项判定:
单项判定:
如果1)-4)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
8.1.1.1.2测评单元(测评单元(L3-PES1-02)该测评单元包括以下要求:
a)测评指标:
测评指标:
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
b)测评对象:
测评对象:
机房。
c)测评实施包括以下内容:
测评实施包括以下内容:
1)应检查是否不位于所在建筑物的顶层或地下室;2)如果机房位于所在建筑物的顶层或地下室,应检查是否采取了防水和防潮措施。
d)单项判定:
单项判定:
如果1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
整体测评内容变化18GB/T28448-2012GB/T28448-20XX安全控制点间安全控制点间测评测评层面间层面间测评测评区域间区域间测评测评(删除)删除)安全控制点测评安全控制点测评(新增)(新增)安全控制点间测评安全控制点间测评层面间测评层面间测评增加附录BB.1测评指标编码规则测评指标编码规则测评单元编号为3组数据,格式为XX-XXXX-XX示例:
测评单元编号为L1-PES1-01,代表源自基本要求第1部分的第一级单项测评的物理和环境安全类的第1个指标。
19增加附录BB.2专用缩略语专用缩略语ADS应用和数据安全(ApplicationandDataSecurity)CMS安全建设管理(ConstructionManagementSecurity)ECS设备和计算安全(EquipmentandComputingSecurity)MMS安全运维管理(MaintenanceManageme
升级会员 