資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準、產品、系統、資訊等均依據等級保護思想的安全工作;狹義上一般指資訊系統安全等級保護。
安全建設管理cms
定級和備案
l3-cms-01
l3-cms-02
l3-cms-03
l3-cms-04
安全方案設計
l3-cms-05
l3-cms-06
l3-cms-07
產品採購和使用
l3-cms-08
l3-cms-09
l3-cms-10
自行軟體開發
l3-cms-11
l3-cms-12
l3-cms-13
l3-cms-14
l3-cms-15
l3-cms-16
l3-cms-17
外包軟體開發
l3-cms-18
l3-cms-19
l3-cms-20
應以書面的形式說明保護物件的安全保護等級及確定等級的方法和理由
1 核查定級文件是否明確測評系統的安全保護等級
2 核查是否給出了定級方法和理由
具有明確描述定級方法理由和最終定級結果的定級報告書
應組織相關部門和有關技術專家對定級結果的合理性和正確性進行論證和審定
1 核查是否對測評系統相關部門或有關專家對定級結果進行了論證和審定
2 核查是否有定級結果的評審和論證記錄檔案
具有相關專家對定級結果論證意見
應保證定級結果經過相關部門批准
1 核查是否獲得了相關部門的批准
2 核查是否有定級結果的審批檔案
具有主管部門審批意見或本單位相關部門的審批意見
應將備案材料報主管部門和相應公安機關備案
1 核查是否向主管部門備案
2 核查是否有備案證明證書
具有主管部門和公安機關的備案證明
應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施
1 核查是否根據系統等級選擇相應的安全保護措施
2 核查是否根據風險分析的結果補充安全措施
3 核查設計類文件是否根據系統等級或風險分析結果採取相應的安全保護措施
安全設計文件有明確描述系統安全保護等級,並在相關章節中描述了安全實施是依據系統等級和其特殊安全需求進行選擇。
1 核查是否有保護物件的相關設計文件
具有單位總計的安全規劃文件和被測系統安全設計文件,且包含相關密碼設計內容(如採用了密碼產品和演算法)
應組織相關部門和有關安全專家對安全整體規劃及配套檔案的合理性和正確性進行論證和審定,經過批准後才能正式實施。
1 核查是否組織相關人員對系統規劃和建設文件進行論證和評審
2 核查評審的文件和批准意見
具有總體安全規劃和安全設計方案的專家論證批准意見
應確保網路安全產品採購和使用符合國家的有關規定
1 訪談建設負責人產品採購的流程或遵循的標準
2 抽樣核查網路安全產品的銷售許可標誌
網路安全產品均具有銷售許可證
應確保密碼產品與服務的採購和使用符合國家密碼管理主管部門要求
1 訪談建設負責人是否採用了商用密碼產品或服務
2 核查使用的密碼產品的許可證明或批文
密碼產品符合國家相關部門的要求
應預先對產品進行選型測試,確定產品的候選範圍,並定期審定和更新候選產品名單
1 訪談建設負責人產品採購流程
2 核查產品採購管理制度或要求
3 核查採購管理內容是否覆蓋產品的選擇方式以及定期審定和更新產品列表
具有產品選型測試報告、候選產品清單和定期更新名單。
應將開發環境與實際執行環境物理分開,測試資料和測試結果受到控制
1 訪談建設負責人,開發的控制流程和控制措施有哪些
2 核查軟體開發相關管理的規定和要求
3 管理內容是否覆蓋開發環境和執行環境分開的規定以及測試資料是否受控
1、開發環境與執行環境分離
2、有明確的管理要求控制測試資料和測試結果的使用
應制定軟體開發管理制度,明確說明開發過程的控制方法和人員行為準則
1 訪談安全建設負責人,是否有軟體開發方面的管理制度
2 核查管理制度內容是否覆蓋軟體開發的整個生命週期
3 開發過程中是否覆蓋開發過程的控制方法和行為準則
具有軟體開發管理制度,明確了開發過程相關管理要求
應制定**編寫安全規範,要求開發人員參照規範編寫**
1 訪談系統建設負責人是否有**編寫安全規範
2 **編寫規範是否明確**的編寫規則
具有**編寫安全規範
應具備軟體設計的相關文件和使用指南,並對文件使用進行控制
1 訪談系統建設負責人是否有人負責對軟體設計的相關文件進行管控
2 被評測系統是否有開發文件和使用說明文件
具有軟體開發過程中的相關文件(如軟體概要文件、軟體詳細設計文件等)和使用指南
應保證在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意**進行檢測
1 訪談安全建設負責人,是否在軟體開發的生命週期中進行安全性方面的測試
2 核查是否具有安全性測試報告和**審計報告
具有階段性軟體安全測試報告和軟體安裝前**審計報告
應對程式資源庫的修改、更新、發布進行授權的批准,並嚴格進行版本控制
1 訪談建設負責人是否對程式資源進行管控
2 核查是否有管控記錄檔案
具有程式資源庫修改、更新、發布的授權批准記錄
應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查
1 訪談建設負責人開發人員是否為專職人員
2 核查軟體開發管控制度是否對開發過程和人員的行為準則進行了規定和要求
開發人員為專職人員,有相關管理要求或手段對開發人員進行控制、監視或審查
應在軟體交付前檢測其中可能存在的惡意**
1 訪談建設負責人是否做惡意**檢測
2 核查是否有惡意**檢測報告
具有惡意**檢測報告
應保證開發單位提供軟體設計文件和使用指南
1 訪談建設負責人是否有軟體設計的相關文件和使用指南
2 核查是否提供了軟體生命週期中的所有文件
具有軟體開發的相關文件,如需求分析說明書、軟體設計說明書等
應保證開發單位提供軟體源**,並審查軟體中可能存在的後門和隱蔽通道
1 訪談建設負責人,外包開發單位是否提供源**
2 核查是否提供源**的安全檢查報告
3 核查軟體源**及源**的審查記錄
1、提供軟體源**
2、具有軟體檢測報告,內容涵蓋後面和隱蔽通道的測試
等保測評 安全建設管理(二)
資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國 美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準 產品 系統 資訊等均依據等級保護思想的安全工作 狹義上一般指資訊系統安全等級保護。安全建設管理cms 工程實施 測試驗...
等保測評之安全運維管理
a 應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電 空調 溫濕度控制 消防等設施進行維護管理 b 應建立機房安全管理制度,對有關物理訪問 物品進出和環境安全等方面的管理作出規定 c 應不在重要區域接待來訪人員,不隨意放置含有敏感資訊的紙檔檔案和移動介質等。a 應編制並儲存與...
等保測評之安全管理制度
a 應制定網路安全工作的總體方針和安全策略,闡明機構安全工作的總體目標 範圍 原則和安全框架等。a 應對安全管理活動中的各類管理內容建立安全管理制度 b 應對管理人員或操作人員執行的日常管理操作建立操作規程 c 應形成由安全策略 管理制度 操作規程 記錄表單等構成的全面的安全管理制度體系。a 應指定...