| 测评过程活动 | 任务 | 测评机构职责 | 测评委托单位职责 |
| 测评准备活动 | 工作启动 | 1.组建等级测评项目组; 2.指出测评委托单位应该提供的基本资料 3.准备被测单位基本情况调查表格,并提交给测评委托单位; 4.向测评委托单位介绍安全测评工作的流程和方法; 5.向测评委托单位介绍安全测评工作可能带来的风险和规避方法; |
1.向测评机构介绍本单位的信息化建设及发展情况; 2.提供测评机构需要的基本资料; 3.为测评人员信息收集工作做好支持和协调工作; 4.准备填写调查表格; 5.根据被测对象的具体情况,比如业务高峰期的时间,网络布置的情况,为测评的时间提供适宜的建议; 6.制定应急的预案。 |
| 信息收集和分析 | |||
| 工具和表单准备 | |||
| 方案编制活动 | 测评对象确定 | 1.详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等; 2.初步判断定级对象的安全薄弱点; 3.分析确定测评对象、测评指标、测评内容和工具测试方法; 4.编制测评方案文本,并评审; 5.制定风险规避实施方案。 |
1.为测评机构完成测评方案提供信息和资料; 2.评审和确认测评实施方案文本; 3.评审和确认测评机构提供的风险规避实施方案。 4.若不在生产环境开展测评,则配置和生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为测试环境。 |
| 测评指标确定 | |||
| 测评内容确定 | |||
| 工具测评方法确定 | |||
| 测评指导书开发 | |||
| 测评方案编制 | |||
| 现场测评活动 | 现场测评准备 | 1.测评人员开展测评工作前确认被测等级对象具备测评工作开展的条件,测评对象工作正常; 2.测评人员利用访谈、文档审查、配置核查、工具测试和实地查看的方法开展现场测评工作,并获取相关证据。 |
1.测评前备份系统和数据,并了解测评工作的基本情况; 2.协助测评机构获取现场测评授权; 3.安全人员配合测评工作开展; 4.对风险告知书签名确认; 5.配合人员如实回答测评人员的问询,对某些需要上机确认的内容上机进行操作; 6.配合人员协助测评人员实施工具测试并提出有效的建议,降低安全测评对系统运行的影响; 7.配合人员协助测评人员完成业务相关内容的问询、验证和测试。 8.配合人员对测评证据和证据源进行确认; 9.配合人员确认被测设备状态完好。 |
| 现场测评和结果记录 | |||
| 结果确认和资料归还 | |||
| 报告编制活动 | 单项测评结果判定 | 1.分析并判定单项测评结果和整体测评结果; 2.分析评价被测定级对象存在的安全情况; 3.根据测评结果形成等级测评结论; 4.编制等级测评报告,说明系统存在的安全风险和隐患,并给出安全建议; 5.评审等级测评报告,并将评审过的等级测评报告安装分发范围进行分发; 6.将生产的过程文档归档保存,并将测评过程中在测评用介质和测评工具中生产或存放的所有电子文档清除。 |
1.签收测评报告; 2.向分管公安机关备案测评报告。 |
| 单元测评结果判定 | |||
| 整体测评 | |||
| 安全问题风险分析 | |||
| 等级测评结论形成 | |||
| 测评报告编制 |
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
英国的供应链网络安全评估 -
>>>其他<<<
-
安全从组织内部人员开始 -
网络安全知识:二手设备安全 -
网络安全知识:物流业的网络安全 -
毕马威对2023年网络安全的3项预测
原文始发于微信公众号(祺印说信安):网络安全等级保护:等级保护测评过程要求PPT
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论