版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全测试检测目录TOC\o"1-5"\h\z\o"CurrentDocument"1、概述 2\o"CurrentDocument"1.1信息安全风险评估的概念与依据 2\o"CurrentDocument"1.2信息安全等级保护的定义 2\o"CurrentDocument"1.3涉密系统测评的两种形式 3\o"CurrentDocument"2、 信息安全测试检测的重要性 .4\o"CurrentDocument"1.1信息安全风险评估的意义和作用。 4\o"CurrentDocument"1.2信息安全等级保护测评的意义 4\o"CurrentDocument"1.3涉密系统测评的意义 5\o"CurrentDocument"3、 涉密信息系统测评要点分析 5\o"CurrentDocument"3.1应首先核实管理体系文件能否被执行 5\o"CurrentDocument"3.2应从全局角度确认管理体系的完整性 5\o"CurrentDocument"3.3采用风险分析的方法来确认具体 6\o"CurrentDocument"3.4应掌握评价管理制度可操作性的关键要素 6\o"CurrentDocument"3.5管理体系应能够自我改进 7\o"CurrentDocument"4、 信息安全等级保护测评中应关注的几项问题 .7\o"CurrentDocument"5、 信息安全风险评估策划阶段关键问题 .9\o"CurrentDocument"5.1确定风险评估范围 .9\o"CurrentDocument"5.2确定风险评估目标 .9\o"CurrentDocument"5.3建立适当的组织机构 10\o"CurrentDocument"5.4建立系统性风险评估方法 10\o"CurrentDocument"5.5获得最高管理者对风险评估策划的批准 115.6总结 11信息安全测试检测是一个统称的概念。用来概括信息系统风险评估、等级保护测评和涉密系统测评三项信息安全方面的测试检测工作。信息系统风险评估、等级保护测评和涉密系统测评这三种实现信息安全的方法都是当前我国进行信息安全保障工作的重要内容和手段,信息安全测试检测概念的提出对于规范和明确信息安全日常工作具有重要作用。1、概述通常来讲,信息安全测试检测包含风险评估、等级保护测评以及涉密系统测评。以上3种检测都需要相应的检测资质,例如风险评估工作需要风险评估资质,等级保护测评需要等级保护资质,资质不能混用,全国目前同时具备以上3种检测资质的单位并不多,具了解,山东省软件评测中心同时具备风险评估、等级保护、涉密系统3种检测资质。1.1信息安全风险评估的概念与依据风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。1.2信息安全等级保护的定义信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。1.2.1信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,山东省软件评测中心作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。1.3涉密系统测评的两种形式涉密信息系统测评主要有两种形式,即自我检测和检查评估。一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。自我检测是涉密信息系统拥有者主要进行的日常的检查测评,是保障涉密信息系统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下,各部门各单位对所拥有的涉密信息系统进行自我检测应成为涉密系统测评的重要方式。检查评估是国家保密局授权的,经中央批准成立的专门评估机构实施。可以在已建涉密信息系统安全改进方案设计之前进行,作为设计方案的依据;可以在已建涉密信息系统审批运行之前进行,作为保密局审批的依据;也可以在已建涉密信息系统开通运行一段时间之后进行,作为控制新的安全风险的依据。2、信息安全测试检测的重要性信息安全测试检测作为保障信息安全的重要措施有着不可替代的作用。合理有效的测试检测可以发现信息系统中存在的问题,防患于未然。1.1信息安全风险评估的意义和作用。(1) .风险评估是信息系统安全的基础性工作,它是观察过程的一个持续的工作。(2) .风险评估是分级防护和突出重点的具体体现。前面讲了等级保护,他有一个重要的思想,等级保护的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。(3) .加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持,生命周期有几个阶段,有规划和启动阶段,设计开发或采购阶段等等。信息系统在设计阶段的时候,现在大家很关注的还是在设计阶段,国家对这方面也做了很多的工作。信息安全风险评估的目标和目的,信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成公式,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性,这是一个非常非常重要的问题。我们检查性的评估,都是为了使信息安全评估策略贯彻得到始终如一的支持。1.2信息安全等级保护测评的意义当前信息系统安全保护等级的划分共分为五级,分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。实施信息安全等级保护意义重大,不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了信息安全建设成本。同时,信息安全等级保护对信息安全资源的配置进行了优化,重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是,信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。1.3涉密系统测评的意义涉密系统测评有利于在保障涉密系统在运行过程中的持续性,对于日常系统运行风险有良好的防范作用,另外涉密系统测评可以保护涉密信息的安全性,降低信息安全风险。3、涉密信息系统测评要点分析在涉密信息系统测评实践中,因测评人员对国家保密标准理解的差异性,导致在评价时存在不一致、不规范的情况。针对这种情况,根据参与涉密信息系统测评工作要求,对如何评价涉密信息系统安全保密管理体系的有效性进行分析,提出测评时应注意把握的测评要点。3.1应首先核实管理体系文件能否被执行在涉密信息系统测评中,涉密信息系统建设使用单位一般均会依据国家保密标准制定有关管理体系文件,并确定相关责任部门和人员。但其所建立的管理体系能否被执行,不能仅仅简单依靠涉密信息系统建设使用单位人员的情况介绍,而应要求建设使用单位提供证明。测评实践中一种情况是涉密信息系统建设使用单位能够提供成型的管理体系文件,但这些文件却并未经过正式发布确认,甚至还只是讨论稿。另一种况是有的单位虽然正式发布了安全保密管理体系文件,但发布的部门不具备相应权限,只能保证管理体系在本部门内被执行,无法保证管理体系在整个单位内被执行。此外,测评实践中发现,涉密信息系统建设使用单位往往将管理文件汇编并标定为涉密文件,按涉密文件进行管理,其印制的份数有限,也难于借阅。这样做虽然有利于对单位安全保密管理体系文件的保护,但同时也导致管理人员难以在需要时及时获得有关管理文件。3.2应从全局角度确认管理体系的完整性对于已建立的管理体系,在核查其是否能够覆盖涉密信息系统安全保密管理的各个方面时,测评人员往往简单地从标准的各项具体条款入手,逐条查找相应的管理文件中是否设立了相应的规定。这种方式不仅操作繁琐,而且容易导致难以从全局的角度审视其管理体系的完整性。实际测评时应首先请涉密信息系统建设使用单位熟悉其安全保密管理体系的人员介绍管理体系文件的组成、相互关系、与保密标准的比对情况,之后再通过审视管理体系各个文件中所描述的适用范围,从全局的宏观角度确认其管理体系是否存在缺失。3.3采用风险分析的方法来确认具体管理要求的合规性安全保密管理的具体要求与保密标准条款的符合性是系统测评时必须重点核查的内容。由于各项管理要求往往是根据涉密信息系统建设使用单位的具体情况制定的,若仅仅简单地核查管理要求的文字内容同标准中有关条款文字的符合性,则易于失去系统测评风险分析的本质,将合规性检查变成了文字核查。实际测评中,测评人员不仅要熟悉标准中各项条款的要求,更要明白各项要求中隐含的风险分析的思想与实质,采用风险分析的方法去判断各项管理要求同标准有关条款的符合性。对于具体管理要求的合规性判定,测评人员一方面要深入理解标准有关要求背后所涉及的风险;另一方面要学会采用风险分析的方法,在涉密信息系统建设使用单位管理人员的充分配合下进行综合分析,而不应拘泥于具体的文字表述。3.4应掌握评价管理制度可操作性的关键要素安全保密管理制度的可操作性是保证整个管理体系正常、有效运转的基础。实际测评中,可以从以下几方面考查相关管理制度的可操作性。(1) 是否明确了管理责任的主体任何一项管理制度首先应明确所规定的管理事项针对的责任主体,即谁对此项规定的执行负责。(2) 是否明确了管理的客体关于具体事务的管理规定中各条款一般均会涉及被管理的对象,即管理的客体。清晰、明确的管理客体,是该项制度可操作性强的重要前提。(3)是否明确了操作的流程关于具体事务的管理规定中若仅仅是提出要求,而没有详细的操作流程,则实际操作中容易因操作人员的水平、安全保密意识等的差异导致操作结果不同,甚至出现严重的安全保密事故。(4) 是否明确了管理事项发生的具体时间、周期或触发条件保密标准中明确了必须定期开展的多项管理事项,但在涉密信息系统建设使用单位制定管理制度时,却很少结合自身情况确定开展相关事项的周期、时间或触发条件,这往往导致有关规定流于形式,不仅难以监督,而且还容易导致实际操作中必要环节的缺失。(5) 管理事项应可审计涉密信息系统由于安全保密管理失当导致出现安全保密事故,其结果往往存在影响大、责任重、处理严的特点。为杜绝出现安全保密管理责任事故、明确相关管理责任,也为发生事故后能够及时追查原因、减小事故造成的损失、定位责任人员或环节,以及提出合理的处理意见,必须加强涉密信息系统安全保密管理中重要事项、重点环节的审计。3.5管理体系应能够自我改进涉密信息系统的安全保密管理不是一成不变的,而是随着技术的发展、网络结构的变化、用户的增减、人员安全保密认识的不断深入等情况动态变化的。涉密信息系统的安全保密管理体系只有具备了随着来自内部或外部的变化,不断自我适应、自我完善的能力,才能实现保护国家秘密这一最终目标。国家保密标准中也指出要通过分析异常事件、定期自评估和检查评估等于段,发现安全保密管理的薄弱环节并不断改进完善。因此,在测评实践中,要分析被测涉密信息系统的安全保密管理体系是否具备自我改进的能力,以防止在涉密信息系统开通运行一段时间后,出现安全保密管理体系与实际的管理需求不相适应的情况。信息安全等级保护测评中应关注的几项问题保障信息安全已成为当前信息化发展中迫切需要解决的重大问题,信息系统安全等级保护的落实和实施势在必行。信息系统安全等级保护的核心是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求,有效落实等级保护责任和措施。(1) 科学定级,严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准,确定其信息系统的安全保护等级。对重要信息系统,其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统,以及跨地域的信息系统应按要求向管辖公安机关备案。(2) 建设整改,落实措施。对已有的信息系统,其运营、使用单位要根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统,应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。(3) 自查自纠,落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统,定期进行安全状况检测评估,及时消除安全隐患和漏洞,发现问题及时整改,不断加强信息安全等级保护能力。(4) 监督检查,完善保护。公安机关要按照等级保护的管理规范和技术标准的要求,重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的,要通知相关部门限期整改,确保信息安全等级保护的完善实施。在实施过程中,信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控,严防测评过程中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求,严格选择符合资质的测评机构和测评人员,同时要加强等级测评的资源管理和过程管理,做好测评设备和过程的隔离和封闭,确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题,要及时采取防范措施加以防控或缓释,并进一步制定和落实相应的整改方案,使信息系统的安全等级保护得以有效落实。5、信息安全风险评估策划阶段关键问题随着各类组织的信息化程度的提高,组织业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。信息安全风险评估作为一个过程,应该特别注意其策划阶段的活动。5.1确定风险评估范围风险评估作为一个过程,或者说一个项目,在最初应确定其范围。组织进行风险评估可能是由于自身商业要求及战略目标的要求,相关方的要求或其他原因,因此应根据上述原因确定风险评估范围。范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权。这样在体系建立过程中的风险评估就针对这样的范围进行,以满足相关方的要求。组织在确定范围的时候,不应该是随便指定一个范围,而是应该清醒的分析组织业务战略的要求,否则整个风险评估可能耗费大量的资源,却没有达到预期的效果。如果风险评估的范围过大,经常会导致对于收集到的信息进行分析分析时感到困难,设定一个对于组织来说“易于管理”的范围对于风险评估的项目安排及活动的实施都会降低其难度。5.2确定风险评估目标组织应明确风险评估的目标,为风险评估的过程提供导向。组织内的信息、系统、应用软件和网络是组织重要的资产。资产的保密性,完整性和可用性对于维持竞争优势和组织形象是必要的。组织要面对来自四面八方日益增长的安全威胁。一个组织的系统、应用软件和网络可能是严重威胁的目标。同时,由于组织的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个组织则可能出现更多的脆弱性。组织的风险评估的目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。5.3建立适当的组织机构组织在进行风险评估时,完全将其委托给外部的信息安全专家是不合适的,针对上面所定义的风险评估范围及目标,组织应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织机构的建立应考虑其结构和复杂程度。完备的组织机构能够确保风险评估过程中的职责得到明确的定义,能够从管理和技术两方面认识组织的安全状态,能够保证风险评估过程中的沟通与决策。5.4建立系统性风险评估方法我国目前也在积极应对各类组织日趋增长的风险评估、风险管理的需求,起草适应我国国情的风险评估、风险管理指南,立足于我国信息化建设现状,对我国当前信息安全风险评估实践工作的总结、归纳、简化与提升。笔者在这里不想谈论各种标准指南的具体方法和过程。只希望对于组织在面对如此众多的标准及指南的时候如何选择的问题,提几点建议。风险评估的基本理论涉及到的要素及相互关系在各个标准及指南中的体现基本相同,但在各个标准及指南中都存在着一定的特殊性要求及过程。组织在风险评估策划阶段能够考虑范围、目的、时间、效果、组织文化、人员素质以及具
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 南京工业大学《智慧工地与智能施工设备》2023-2024学年第一学期期末试卷
- 强化4-5岁幼儿环保意识的教育策略
- 南京工业大学《快图设计》2022-2023学年第一学期期末试卷
- 南京工业大学《建筑设备(暖)》2022-2023学年第一学期期末试卷
- 有机蔬菜行业的人才培养与团队建设计划
- 数据结构教案
- 南京工业大学《混凝土结构设计原理(含荷载与可靠度)》2023-2024学年第一学期期末试卷
- 南京工业大学《工业药剂学》2021-2022学年第一学期期末试卷
- 南京工业大学《计算机系统结构》2021-2022学年期末试卷
- 出口贸易报关代办合同范本
- 政工程设施养护维修估算指标
- 成都锦里商街、宽窄巷旧城改造商业案例分析
- 外贸公司组织架构、岗位职责
- 机械设计课程设计ZDD1-B说明书
- 人教版-高一至高三全部英语课文朗读与听力MP3链接
- 第4课 我来画棵“家庭树”第一课时 ppt课件
- ARMA算法整理
- 岛电SR中文说明书
- 地下水八大离子-阴阳离子平衡计算公式
- 部分轮毂的基本知识
- 小学数学六年级“24点”试题及答案
评论
0/150
提交评论