浅谈计算机信息系统等保测评

浅谈计算机信息系统等保测评

等保测评概述

在网络安全圈内，除了渗透测试、风险评估、安全测试等工作，还有一项重要的工作为等保测评，无论是企业、还是机关单位，等保测评都是其网络安全建设中不可缺少的一项，特别是部分企业、单位不进行等保测评工作会面临罚款等处罚。

等保测评是对信息和信息载体按照重要性等级分级别进行保护的一种工作，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

等保测评级别概念

第一级 ------------------ 自主保护级
依据国家有关管理规范和技术标准进行保护。
第二级 ------------------ 指导保护级
国家信息安全监管部门对该级保护工作进行指导。
第三级 ------------------ 监督保护级
国家信息安全监管部门对该级保护工作进行监督、检测。
第四级 ------------------ 强制保护级
依据国家有关管理规范、技术标准和业务专门需求进行保护
国家信息安全监管部门对该级保护工作进行强制监督、检查。
第五级 ------------------ 专控保护级
依据国家有关管理规范、技术标准和业务特殊安全需求进行保护
国家信息安全监管部门对该级保护工作进行专门监督、检查。

计算机信息系统等保测评定级工作流程

1、确定定级对象
2、初步确定等级
3、专家评审
4、主管部门审核
5、公安机关备案审核

系统备案：

备案时机：
已运营或新建的第二级以上信息系统，应在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的 市级以上公安机关办理备案手续。
备案地点：
1、 隶属于中央的在京单位
其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案，其他信息系统向北京市公安局备案。

2、隶属于中央的非在京单位的信息系统
由当地省级公安机关网络安全保卫部门（或其指定的地市级公安机关网络安全保卫部门）受理备案。
3、 跨省或者全国统一联网运行的信息系统
在各 地运行、应用的分支系统 由所在地地市级以上公安机关网络安全保卫部门受理备案。
4、各部委统一定级信息系统
在各地的分支 系统 即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。
备案审核：
通过 ----- 《信息系统安全等级保护备案证明》
不通过 ----- 通知备案单位整改，并出具《信息系统安全等级保护备案审核结果通知》
注：对定级不准的，建议重新定级评审审批；仍然坚持则书面告知其承担的责任和后果，同时上报其主管部门。

等保测评1.0与2.0的区别

主要强调物理主机、应用、数据、传输，而2.0版本增加了云计算、移动互联网、物联网、工业控制、和大数据等新技术新应用的全覆盖。
1.名称发生变化：等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》。
2.定级对象变化：等保2.0包含信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
3.安全要求变化：由安全要求变革为安全通用要求与安全扩展要求（含云计算、移动互联、物联网工业控制）
4.控制措施分类结构变化：技术上，由物理安全、网络安全、主机安全、应用安全、数据安全、变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
在管理上，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
5.内容变化：从1.0的定级、备案、建设整改、等级测评和监督检查，变更为五个规定动作+新的安全要求（增加风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等）
6.等级1.0要求是自主定级，有主管部门的需要主管部门审核，最终报备公安机关审核，等保2.0之后定级流程新增（专家评审和主管部门审核）。

等保2.0主要强调一个中心，三重防护： 形成“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

等保测评依据

测评过程中主要依据的法律：
（1）    《中华人民共和国网络安全法》
测评过程中主要依据的标准：
（1）     GB 17859—1999 《计算机信息系统 安全保护等级划分准则》
（2）     GB/T 22239—2019 《信息安全技术 网络安全等级保护基本要求》
（3）     GB/T 28448—2019 《信息安全技术 网络安全等级保护测评要求》
（4）     GB/T 28449—2018 《信息安全技术 网络安全等级保护测评过程指南》
（5）     GB/T 20984—2022 《信息安全技术 信息安全风险评估方法》
测评过程中主要参考的文件：
（6）    《信息安全技术 网络安全等级保护测试评估技术指南》（GB∕T 36627-2018）
（7）    《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）
（8）    《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）
（9）    《信息安全等级保护管理办法》（公通字〔2007〕43号）

被测单位需要向检测机构提供的信息

序号所需信息1单位基本情况介绍2相关人员名单（包括管理、技术相关人员）例如：审计管理员、安全管理员、系统管理员、机房管理员等3物理环境情况（包括主机房、辅机房办公环境等）4信息系统基本情况（包括系统备案表、定级报告等）5信息系统承载业务（服务）情况（包括业务名称、业务描述、业务处理类别、涉及软硬件，责任单位等）6网络结构（环境）情况介绍（包括网络功能区域名称、主要功能和作用、网段、相关设备信息、与其连接的其它网络区域、网络区域间的边界设备等）7外联（网络边界）情况介绍（外联线路名称、所联网区域、外联对象名称、接入线路种类、带宽、接入设备信息、承载的主要业务应用等信息）8网络设备情况介绍（包括网络设备名称型号、物理位置、所属网络区域、IP规划、系统软件版本及补丁、端口类型、主要用途、是否热备、重要程度等信息）9安全设备情况介绍（包括网络安全设备名称及型号、物理位置、所属网络区域、IP规划、系统软件版本及补丁、端口类型、主要用途、是否热备、重要程度等信息）10服务器/主机设备情况介绍（包括设备名称及型号、物理位置、所属网络区域、IP规划、操作系统版本、数据库系统信息、承载的主要业务应用、安装的主要应用系统软件、涉及业务数据类型、是否热备、重要程度等信息）11系统软件情况（包括操作系统、数据库系统等软件名称、版本、软件厂商、硬件平台、涉及应用系统等信息）12应用系统情况介绍（包括系统业务名称、功能描述、处理业务数据、用户数、用户分布范围、应用系统软件名称、开放商、服务模式、是否24小时运行、重要程度等信息）13业务数据情况介绍（业务数据名称、涉及到的业务应用、数据总理及日增量、存放所在的服务器名称、涉及存储系统、备份周期、是否异地保存、重要程度等信息）14数据备份情况介绍（备份数据名称及种类、介质类型、备份周期、保存周期、是否异地保存、过期处理方式、涉及应用系统等信息）15应用系统软件处理流程16业务数据流程17管理文档（包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理相关制度、记录文档等）18项目建设情况（包括项目招投标文件、项目合同复印件、系统设计及实施方案、竣工验收文档、资产清单）

留着以后等我想到了什么再补充。。。。。。。。。。。。