等保测评工作流程
准备阶段
项目启动
组建评测项目组
编制项目计划书
确定评测委托单位应提供的资料
信息收集分析
查阅定级报告、系统描述文件、系统安全设计方案、自查或上次等级测评报告(如果做过资产或等级测评)等资料
根据查阅到的系统情况调整调查表内容
发放调查表给测评委托单位
工具和表单准备
调试测评工具
模拟被测系统搭建测评环境
模拟测评
准备打印表单
方案编制阶段
测评对象的确定
识别被测系统等级
识别被测系统的整体结构
识别被测系统的边界
识别被测系统的网络区域
测评指标确定
识别被测系统业务信息和系统服务安全保护等级
选择对应等级的ASG三类安全要求作为测评指标
注:ASG
A:保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;--电力供应、资源控制、软件容错等
S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等;
G:通用安全保护类要求。--技术类中的安全审计、管理制度等
测试工具接入点确定
在测评中,需要使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。
确定需要进行测试的测评对象
选择测试路径
根据测试路径,确定测试工具的接入点
测评指导书开发
测评指导书是具体指导测评人员如何进行测评活动的文档,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动规范的根本。可从已有的测评指导书中选取与测评对象对应的手册。
测评方案编制
测试方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应该包括但不局限于:项目概述、测评对象、测评指标、测评内容、测评方法等。
现场评测阶段
现场评测阶段通过与评测委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。
现场评测准备
测评委托单位对风险告知书签字确认,了解测评过程中存在的安全风险,做好相应的应急和备份工作。
召开测评现场启动会,测评机构介绍现场测评工作安排,双方对测评计划和测评方案中的测评内容和方法进行沟通。
双方确认配合人员,环境等资源。
现场评测和结果记录
依据测评指导书实施测评
记录测评获取的证据、资料等信息
汇总测评记录,如果需要,实施补充测评
实施测评
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
测试
测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
结果确认和资料归还
召开现场测评结束会
测评委托单位确认测评过程中获取的证据和资料的正确性,签字认可。
测评人员归还借阅的各种资料
报告编制阶段
在现场测评工作结束后,测评机构应对现场测评获得的测评结果进行汇总分析,形成等级测评结论,并编制测评报告。
单项测评结果判定
分析测评项所对抗威胁的存在情况
分析单个测评项对应的多个测评结果的符合情况
单元测评结果判定
汇总每个测评对象在每个测评单元的单项测评结果
判定每个测评对象的单元测评结果
整体测评
分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况。
风险分析
判断整体评测后的单元测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性(取值范围为高、中、低)。
判断整体测评后的单元测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用后,对被测信息系统的业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中、低。
结合上两步结果,对评测信息系统面临的安全风险进行赋值,风险值的取值范围为高、中、低。
结合被测信息系统的安全保护等级和对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
等级测评结论形成
统计再次汇总后的单项测评结果为部分符合和不符合项的项数,形成等级测评结论。
测评报告编制
测评报告应包括:测评项目概述、被测信息系统情况、等级测评范围和方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改建议等。
仅供参考
上海公司app注册办理信息安全等级备案
更新:2024-04-28 09:30 发布者IP:210.22.98.29 浏览:0次- 发布企业
- 上海道商企业服务中心商铺
- 认证
- 资质核验:已通过营业执照认证入驻顺企:第6年主体名称:宏展财务咨询有限公司组织机构代码:91310115MA1H7G5Q0W
- 报价
- 请来电询价
- 关键词
- 信息安全等级保护备案
- 所在地
- 浦东新区金沪路99弄3号
- 联系电话
- 15021594806
- 手机
- 15021594806
- 联系人
- 卢小姐 请说明来自顺企网,优惠更多
- 让卖家联系我
- 15021594806
产品详细介绍
成立日期 | 2016年02月22日 | ||
法定代表人 | 卢玉丽 | ||
注册资本 | 5000 | ||
登记机关 | 浦东新区市场监管局 | ||
主营产品 | 公司注册 公司注销 增值电信业务许可证办理 药品信息服务资格证办理 营业性演出许可证办理 | ||
经营范围 | 财务咨询,企业管理咨询、商务信息咨询(以上咨询除经纪),知识产权代理,企业形象策划,市场营销策划,文化艺术交流与策划,品牌管理,市场信息咨询与调查(不得从事社会调查、社会调研、民意调查、民意测验),展览展示服务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】 | ||
公司简介 | 上海道商企业服务中心,是经【工商行政管理局】核准、具有代企业登记资格的“企业服务机构”,致力于工商登记注册,财税代理、增值电信许可证办理等业务。与各经济园区、工商税务始终保持良好的协作关系,为大家提供便利、专业的服务,优惠的政策。▶公司坐落于浦东繁华商业区,地铁交通便利,其下更拥有多名企业注册顾问;▶如果在创业初期遇到工商注册,税务代理,增值许可证办理等相关事宜不甚了解,道商会为您提供免费咨询服务 ... |
公司新闻
- 小程序备案与网站备案登记申请代办小程序备案与网站备案在性质和流程上是没有本质区别的,但需要的材料还是有所不同。需... 2024-04-28
- 特许加盟备案申请注册与查询在商业特许经营中,特许加盟合同是特许人与加盟商之间的法律桥梁,特许经营合同承载着... 2024-04-28
- 办理个体营业执照一般需要的材料 上海代理根据《个体工商户登记管理办法》第十四条的规定,办理个体营业执照一般需要的材料如下... 2024-04-28
- 上海变更公司注册地址需提交材料公司经营地址对于一个公司看似意义不大,因为一般的人并不会去关心公司的地址在哪,包... 2024-04-28
- 上海市的代理记账报税的公司机构一、记账步骤:1、根据日常发生的业务填制记凭证。记账凭证下要附正式发票。2、根据... 2024-04-28