信息安全評測

1、信息安全測試檢測信息安全測試檢測是一個統(tǒng)稱的概念。用來概括信息系統(tǒng)風險評估、等級保護測評和涉密系統(tǒng)測評三項信息安全方面的測試檢測工作。信息系統(tǒng)風險評估、等級保護測評和涉密系統(tǒng)測評這三種實現(xiàn)信息安全的方法都是當前我國進行信息安全保障工作的重要內容和手段，信息安全測試檢測概念的提出對于規(guī)范和明確信息安全日常工作具有重要作用。等級保護是指導我國信息安全保障體系建設的一項基礎管理制度，風險評估、系統(tǒng)測評都是在等級保護制度下，對信息及信息系統(tǒng)安全性評價方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。等級保護是指導我國信息安全保障體系建設的一項基礎管理制度，風險評估、系統(tǒng)測評都是在等級保護制度

2、下，對信息及信息系統(tǒng)安全性評價方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。二、信息安全等級保護1、背景為了全面貫徹和落實網(wǎng)絡安全法、國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)201223號）、國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）、中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院令第147號）、信息安全等級保護管理辦法（公通字200743號）、等中央文件的精神和要求，在國家信息安全保障相關政策和標準的指導下，對等保備案系統(tǒng)進行等級保護測評。等級測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家

3、秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動，最終由測評中心出具測評報告。等級測評機構，是指具備本規(guī)范的基本條件，經能力評估和審核，由省級以上信息安全等級保護工作協(xié)調（領導）小組辦公室（等保辦）推薦，從事等級測評工作的機構。通過對信息系統(tǒng)進行等級保護測評，了解和掌握信息系統(tǒng)的安全總體狀況，發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)，完善信息系統(tǒng)安全防護體系，全面提升信息系統(tǒng)的安全防護水平，更好地保障信息系統(tǒng)的正常運行，達到國家信息安全對等級保護等相關政策、文件與標準的要求。2、流程3、測評依據(jù)GB/T22240-2008信息安全技術信息系統(tǒng)安全等級保護定級指南GB/T22239-2008信息安全技術信息系

4、統(tǒng)安全等級保護基本要求GB/T28448-2012信息安全技術信息系統(tǒng)安全等級保護測評要求GB/T28449-2012信息安全技術信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評1物理安全rojGB17859-1999計且機信息系統(tǒng)安全偎護萋鈕劃分催則GBT22239-200S信息安全技術信息系統(tǒng)安室等鎰保滬基融夔求A上網(wǎng)絡安全A主機系毓安全4應用安全$赦指安全信息系統(tǒng)安全竽圾保護測評6安全管理機構roaGB17359-1W計茸機情同系統(tǒng)安全供護處圾劃分林則GB7222392008喘息安全技術信息系較安全軍級保護基也要求7安全管理前度8人員妄嚏言也9系統(tǒng)建設管理IQ系筑運維管理4、測評

5、等級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對

6、國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。三、信息系統(tǒng)安全風險評估1、背景信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用國際標準的BS77

7、99ISO17799國家標準信息系統(tǒng)安全等級評測準則等方法，充分體現(xiàn)以資產為出發(fā)點、以威脅為觸發(fā)因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。風險評估的目的是全面、準確的了解組織機構的網(wǎng)絡安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。準確了解組織的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀。具有以下目的：找出目前的安全策略和實際需求的差距獲得目前信息系統(tǒng)的安全狀態(tài)為制定組織的安全策略提供依據(jù)提供組織網(wǎng)絡和系統(tǒng)的安全解決方案為組織未來的安全建設和投入提供客觀數(shù)據(jù)為組織安全體系建設提供詳實依據(jù)此外還可以通過選擇可靠的安全產品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范，為建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。3、評估依據(jù)?風險評估國家標準和規(guī)范：GB/T202742006信息系統(tǒng)安全保障評估框架GB/T209842007信息安全風險評估規(guī)范GB/T18336-2001信息技術安全性評估準則GB178591999計算機信息系統(tǒng)安全保護等級劃分準則GB/T222392008信息安全技術信息