等保咨询热线:15084670000,15846603791
1、黑龙江等保定级报告和备案表
信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后,应到所在地区地市级上公安机关办理备案手续,备案工作的流程是信息系统备案、受理、审核和备案信息管理等。
1)协助定级
对系统情况进行分析,通过分析系统所属类型、所属信息类别、服务范围,了解系统的可用性、完整性、保密性需求,清晰确定保护对象,确定受侵害的客体、确定客体受侵害的程度,最终确定系统的系统服务保护等级和业务信息保护等级,协助用户编制定级报告。
2)协助备案
协助用户填写《信息系统安全等级保护备案表》,协助用户到各地公安机关进行系统备案,获得系统备案证明。
2、黑龙江等保测评
2.1 项目简介
根据公安部出台的有关等级保护的政策,对信息系统的等级保护已经是国家的一项基本国策和信息安全的基本保障,同时等级保护工作的开展也是各行各业信息化建设的内在需求。
随着信息化的不断发展,信息系统的应用为信息化的开展提供了重要的支撑平台,关键流程、重要数据的处理都依赖于信息系统,因而信息化建设、信息安全建设工作受到XXXX集团有限公司各级领导的高度重视。等级保护政策作为国家在信息系统信息安全上的一项重要决策,信息化建设工作和信息安全工作贯穿XXXX集团有限公司的关键业务中。等级保护工作受到了XXXX集团有限公司各级领导的高度重视,安全建设也逐渐成为公司信息化建设的内在需求。
整个测评项目的实施主要分为现场测评和复测评,其中现场测评分为四个阶段:一、测评准备活动阶段,二、方案编制活动阶段,三、现场测评活动阶段,四、分析和报告编制活动阶段;复测评分为三个阶段:一、安全整改活动阶段,二复测评活动阶段,三,分析和报告编制活动阶段。
其测评目的在于对XXXX集团有限公司信息系统当前安全防护能力做出客观评价。通过对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理、渗透测试等方面的安全检查,以国家信息安全等级保护基本要求作为安全基线,进行客观符合性判定,进一步衡量当前系统的安全防护能力,以及系统所面临的威胁和风险所在,为将来的安全整改和安全建设提供有力依据。
2.2 黑龙江等保项目依据
本项目的测评按照以下标准或规范进行:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号);
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号);
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号);
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号);
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号);
《信息系统安全等级保护定级指南》(GB/T22240—2020);
《信息系统安全等级保护测评过程指南》(国标报批稿);
主要测评依据:
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019);
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2019)。
3、系统构成
等保测评系统,主要是由业务应用软件、关键数据类别、主机/存储设备、网络、安全设备、安全相关人员、安全管理文档(制度类、证据类、记录类)组成。
4、测评工具
漏洞扫描工具:启明、安恒、绿盟扫描器
渗透测试工具:包括SQLmap,Burpsuite,RouterScan,Apache Tomcat Scan等。
5、测评实施
访谈安全主管,了解信息系统的整个定级过程和信息系统的报批过程。了解安全方案的整个设计过程和安全建设总体规划情况、产品采购流程、保证系统自主开发软件和外包开发软件安全的相关情况。了解负责工程实施过程、测试验收、系统交付的管理人员或管理部门,对工程实施、测试验收、系统交付过程的进度和质量控制的方法和措施、测试验收方案的制定情况、对系统进行安全测试的机构、验收结果的审定情况,是否根据交付清单对所交接的设备、文档、软件等进行清点,系统建设实施方对运维技术人员进行了哪些培训。了解系统备案的情况和为其提供服务的信息系统安全服务商的有关情况。
收集并查看产品采购、软件开发、工程实施、测试验收和系统交付过程的管理制度,查看系统定级文档是否有信息系统划分的方法和理由、定级方法和理由的描述、专家对定级结果的论证意见和有相关部门或主管部门的批准意见。查看安全方案内容是否包括总体安全策略、安全技术框架、安全管理策略、详细设计内容等方面。检查是否有安全建设的工作计划书、代码编写规范、开发文档、软件设计文档、使用指南、软件测试验收文档、软件需求分析说明书、软件设计说明书、软件操作手册、工程实施方案、安全测试报告、测试验收方案、测试验收报告、系统交付清单、安全服务商的相关服务协议或合同。
6、测评结果
《XXXX集团有限公司信息系统等级保护测评报告》
《XXXX集团有限公司信息系统安全整改方案》
