等级保护测评机构基本介绍ppt课件.pptx

《等级保护测评机构基本介绍ppt课件.pptx》由会员分享，可在线阅读，更多相关《等级保护测评机构基本介绍ppt课件.pptx（24页珍藏版）》请在三一办公上搜索。

1、,等级保护测评机构基本介绍,时代新威,目录,3：等级保护测评要求在级差上的变化,4：等级保护测评机怎么申请,2：等级保护测评机测评要求,1：等级保护测评机基本介绍,等级保护测评机构基本介绍,为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据中华人民共和国网络安全法和网络安全等级保护制度要求，制定本办法。,测评机构介绍,测评工作介绍,等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。测评机构，是指依据国家网络安

2、全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。,测评机构实行推荐,测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐，听说时代新威不错，可以去咨询问一下。,测评机构联盟介绍,测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。,测评机构应按照国家有关网络安全法律法规规定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。,测评机构义务,测评

3、机构测评要求,为什么要修订网络安全等级保护测评要求,国家标准GB/T 284482012信息安全技术 信息系统安全等级保护测评要求在我国网络安全等级保护工作开展过程中发挥了重要的指导作用，被广泛应用于等级保护测评机构、各个行业和领域开展网络安全等级保护的等级测评和安全自查等相关工作。GB/T 28448自2012年发布以来，随着信息技术的发展，在标准应用过程中特别是云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下也遇到了一些新的问题，GB/T 284482012在适用性、时效性、易用性、可操作性上需要进一步完善。此外，作为测评指标进行引用的GB/T 222392008也启动了修

4、订工作。为适应我国网络安全等级保护工作发展的需要，进一步与新版的GB/T 22239相协调，有必要对GB/T 284482012进行修订。,为什么要修订网络安全等级保护测评要求,GB/T 28448信息安全技术 网络安全等级保护测评要求（以下简称“测评要求”）将按照应用的领域划分成安全通用要求和具体领域的安全扩展测评要求。目前计划发布以下部分：第1部分：安全通用要求；第2部分：云计算安全扩展要求；第3部分：移动互联安全扩展要求；第4部分：物联网安全扩展要求；第5部分：工业控制系统安全扩展要求；第6部分：大数据安全扩展要求。,测评要求第1部分：安全通用要求主要修订内容,根据全国信息安全标准化技术

5、委员会2013年10月下达的国家标准制修订计划，公安部第三研究所（公安部信息安全等级保护评估中心）牵头组织了对GB/T 28448-2012的修订工作。在前期先对GB/T 22239进行修订的同时，研究确定了测评要求修订技术思路。待GB/T22239形成草案后，同步开始修订测评要求。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程，也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系，提前向大家介绍以下对原国家标准GB/T 28448-2012修订的一些主要内容。,等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。单项测评是针对各

6、安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。修订后的单项测评中测评指标更加细化，由原标准中的安全控制点调整为安全控制点下的具体安全要求项，更有助于测评实施的开展。整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间、层面间和区域间测评等方面调整为现标准的安全控制点测评、安全控制点间测评和层面间测评。另外，为了更好使机构测评人员明确测评工作的作用对象，在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。,等级测评

7、技术框架的变化,标准内容的变化,测评要求沿用正在修订中的网络安全等级保护定级指南GB/T 22240提出的“等级保护对象”概念，并给出针对等级保护对象的安全等级保护测评的定义。依据GB/T 22239.1标准文本架构，测评要求描述了如何从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等八个层面进行测评实施工作。为了更加易于使用测评要求，增加附录B 测评单元编号说明和附录D 基本要求和测评要求对应表。,附录B给出了测评单元编码规则和专用缩略语，测评单元编号为三组数据，格式为XX-XXXX-XX，各组含义和编码规则

8、如下：,第1组由两位组成，第1位为字母L，第2位为数字，其中数字1为第一级，2为第二级，3为第三级，4为第四级，5为第五级。第2组由4位组成，前3位为字母，第4位为数字。字母代表层面：PES为物理和环境安全，NCS为网络和通信安全，ECS为设备和计算安全，ADS为应用和数据安全，PSS为安全策略和管理制度，ORS为安全管理机构和人员，CMS为安全建设管理，MMS为安全运维管理。数字代表标准分册：1为第一分册，2为第二分册，3为第三分册，4为第四分册，5为第五分册，6为第六分册。第3组由2位数字组成，按层面对基本要求中的要求项进行顺序编号。示例：测评单元编号为L1-PES1-01，代表源自基本要

9、求第1部分的第一级物理和环境安全类的第1个指标。为了方便机构测评人员进行现场等级测评工作，增加附录D基本要求的要求项和测评要求的单元测评对应表，便于机构测评人员检索和索引。测评要求在级差上的变化,测评要求在差异上的变化,不同等级的测评工作主要通过以下四个方面来体现测评要求的级差：,不同级别使用不同测评方法：第一级主要以访谈为主进行等级测评，第二级以核查为主进行等级测评，第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法，能体现出测评实施过程中访谈、核查和测试的测评强度的不同。不同级别测评对象范围不同：第一级和第二级测评对象的范围为关键设备，第三级为主要设备，第四级为所有设

10、备。不同级别测评对象范围不同，能体现出测评实施过程中访谈、核查和测试的测评广度的不同。不同级别现场测评实施工作不同：第一级和二级以核查安全机制为主，第三级和第四级先核查安全机制，再核查安全策略有效性。现场测评方法使用不同：在实际现场测评实施过程中，安全技术方面的测评方法以配置核查和测试验证为主，几乎没有访谈。安全管理方面可以使用访谈方式进行测评。,为了更好落实等级保护制度，推动等级保护技术标准的发展，新修订的测评要求增加了附录C设计要求测评验证表。根据设计要求提出的“一个中心，三重防护”的安全保护思想，从安全管理中心、安全计算环境、安全区域边界和安全通信网络四个方面，测评要求能够全面验证新修订

11、的设计要求。,https:/,与设计要求进行融合,LOGO,测评要求使用方法,测评要求系列标准中“安全通用要求”是等级保护对象通用测评标准，无论等级保护对象使用何种技术，必须首先使用“安全通用要求”对等级保护对象进行测评，结合等级保护对象技术架构，再结合使用测评要求其他部分进行测评。例如：某单位的等级保护对象采用了云计算技术和移动互联接入技术，在进行等级测评时候，首先使用GB/T 28448.1，再结合使用GB/T 28448.2和GB/T 28448.3，对同时采用了云计算技术和移动互联技术的等级保护对象进行测评，以验证等级保护对象是否落实云计算安全扩展要求和移动互联安全扩展要求提出的安全控

12、制措施。综上，测评要求系列标准力图对现场安全测评使用的作业指导书进行“无限接近的标准化”工作。无论等级保护对象是网络基础设施和传统信息系统，还是采用了云计算、移动互联、物联网、工业控制系统和大数据等技术的特殊等级保护对象，测评要求系列标准能够规范全国等级测评机构测评人员的现场测评行为，接近客观给出测评结果，使等级测评工作更加规范化和标准化。,测评机构申请,申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。省级等保办负责受理本省（区、直辖市）申请单位的申请，

13、对申请单位进行审核、推荐；监督管理其推荐的测评机构。,申请介绍,申请单位应具备以下基本条件：,在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;产权关系明晰，注册资金 500 万元以上，独立经营核算，无违法违规记录；从事网络安全服务两年以上，具备一定的网络安全检测评估能力；法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；具有网络安全相关工作经历的技术和管理人员不少于 15 人，专职渗透测试人员不少于 2 人，岗位职责清晰，且人员相对稳定；具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；应具备的其他条件。,申请时，申请单位应向等保办提交以下材料：,（一）网络安全等级保护测评机构推荐申请表；（二）近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明；（三）检测评估工作所需实验环境及测评工具、设备设施情况；（四）有关管理制度情况；（五）申请单位及其测评人员基本情况；（六）应提交的其他材料。,感谢观赏,时代新威,