等級保護(hù)測評二級系統(tǒng)和三級系統(tǒng)多長時(shí)間測評一次
等級保護(hù)測評二級和三級信息系統(tǒng)多長時(shí)間測評一次?
網(wǎng)絡(luò)安全等級保護(hù)測評,大家都知道信息系統(tǒng)三級每年測評一次,那么二級信息系統(tǒng)多長時(shí)間測評一次呢?
很多人對這塊知識點(diǎn)很模糊,包括現(xiàn)有的部分測評機(jī)構(gòu),很多測評機(jī)構(gòu)銷售在跟客戶交流的時(shí)候,都會說三級系統(tǒng)每年測評一次,二級系統(tǒng)兩年測評一次,客戶就更不清楚這一塊知識點(diǎn)了,其實(shí)很多銷售也模模糊糊,其實(shí)二級信息系統(tǒng)公安部沒有明確必須要做等級保護(hù)測評,根據(jù)標(biāo)準(zhǔn)公安部只規(guī)定二級信息系統(tǒng)已運(yùn)營(運(yùn)行)和新建第二級以上信息系統(tǒng)在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
《信息安全等級保護(hù)管理辦法》公通字[2007]43號
具體相關(guān)要求:
第十四條 信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。
信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
第十五條 已運(yùn)營(運(yùn)行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。
關(guān)于網(wǎng)絡(luò)安全等級保護(hù)測評漏掃和滲透相關(guān)規(guī)定
根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南 》7.2.2.4 工具測試 相關(guān)規(guī)定:
輸入:測評指導(dǎo)書,技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄表格。任務(wù)描述:
a) 根據(jù)測評指導(dǎo)書,利用技術(shù)工具對系統(tǒng)進(jìn)行測試,包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。
b) 備份測試結(jié)果。
下面列出對不同等級信息系統(tǒng)在測評實(shí)施時(shí)的不同強(qiáng)度要求
一級:滿足GB/T22239-2008中的一級要求。
二級:滿足GB/T22239-2008中的二級要求,針對主機(jī)、服務(wù)器、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描等。
三級:滿足GB/T22239-2008中的三級要求,針對主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描,針對應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析,滲透測試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。
四級:滿足GB/T22239-2008中的四級要求,針對主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描,針對應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析,滲透測試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。輸出/產(chǎn)品:技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄,工具測試完成后的電子輸出記錄,備份的測試結(jié)果文件。
個(gè)人總結(jié):
二級信息系統(tǒng)在等級保護(hù)測評過程中至少有一次漏掃,并出具相應(yīng)的漏掃報(bào)告,報(bào)告中不能有高危漏洞;
三級信息系統(tǒng)在等級保護(hù)測評過程中至少有一次漏掃和滲透測試,并出具相應(yīng)的漏掃報(bào)告和滲透測試報(bào)告,報(bào)告中皆不能有高危漏洞;
在測評過程中若客戶不想做漏掃和滲透測試,客戶需要寫一份聲明,聲明內(nèi)容中要明確客戶放棄本次漏掃和滲透測評,有問題自己負(fù)責(zé)等條款。
網(wǎng)絡(luò)安全等級保護(hù)測評,大家都知道信息系統(tǒng)三級每年測評一次,那么二級信息系統(tǒng)多長時(shí)間測評一次呢?
很多人對這塊知識點(diǎn)很模糊,包括現(xiàn)有的部分測評機(jī)構(gòu),很多測評機(jī)構(gòu)銷售在跟客戶交流的時(shí)候,都會說三級系統(tǒng)每年測評一次,二級系統(tǒng)兩年測評一次,客戶就更不清楚這一塊知識點(diǎn)了,其實(shí)很多銷售也模模糊糊,其實(shí)二級信息系統(tǒng)公安部沒有明確必須要做等級保護(hù)測評,根據(jù)標(biāo)準(zhǔn)公安部只規(guī)定二級信息系統(tǒng)已運(yùn)營(運(yùn)行)和新建第二級以上信息系統(tǒng)在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
《信息安全等級保護(hù)管理辦法》公通字[2007]43號
具體相關(guān)要求:
第十四條 信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。
信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
第十五條 已運(yùn)營(運(yùn)行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。
關(guān)于網(wǎng)絡(luò)安全等級保護(hù)測評漏掃和滲透相關(guān)規(guī)定
根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南 》7.2.2.4 工具測試 相關(guān)規(guī)定:
輸入:測評指導(dǎo)書,技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄表格。任務(wù)描述:
a) 根據(jù)測評指導(dǎo)書,利用技術(shù)工具對系統(tǒng)進(jìn)行測試,包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。
b) 備份測試結(jié)果。
下面列出對不同等級信息系統(tǒng)在測評實(shí)施時(shí)的不同強(qiáng)度要求
一級:滿足GB/T22239-2008中的一級要求。
二級:滿足GB/T22239-2008中的二級要求,針對主機(jī)、服務(wù)器、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描等。
三級:滿足GB/T22239-2008中的三級要求,針對主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描,針對應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析,滲透測試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。
四級:滿足GB/T22239-2008中的四級要求,針對主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描,針對應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析,滲透測試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。輸出/產(chǎn)品:技術(shù)安全測評的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測評結(jié)果記錄,工具測試完成后的電子輸出記錄,備份的測試結(jié)果文件。
個(gè)人總結(jié):
二級信息系統(tǒng)在等級保護(hù)測評過程中至少有一次漏掃,并出具相應(yīng)的漏掃報(bào)告,報(bào)告中不能有高危漏洞;
三級信息系統(tǒng)在等級保護(hù)測評過程中至少有一次漏掃和滲透測試,并出具相應(yīng)的漏掃報(bào)告和滲透測試報(bào)告,報(bào)告中皆不能有高危漏洞;
在測評過程中若客戶不想做漏掃和滲透測試,客戶需要寫一份聲明,聲明內(nèi)容中要明確客戶放棄本次漏掃和滲透測評,有問題自己負(fù)責(zé)等條款。