关于信息系统安全等级保护测评机构资格认证及测评内容的探讨.pdf
《关于信息系统安全等级保护测评机构资格认证及测评内容的探讨.pdf》由会员分享,可在线阅读,更多相关《关于信息系统安全等级保护测评机构资格认证及测评内容的探讨.pdf(4页珍藏版)》请在咨信网上搜索。
1、西铁科技2/202319研究与探讨关于信息系统安全等级保护测评机构资格认证及测评内容的探讨西安局集团公司科学技术研究所王晨曦摘要:随着信息技术的飞速发展,维护信息网络安全已成为国家安全和社会稳定的重要组成。为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,围绕等保测评资质、技术、设备和管理等方面进行深入调研,对等保测评机构的建立和申请进行了解和讨论。关键词:等保测评;风险评估;测评机构;测评相关证书0前言等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(
2、含信息系统、数据资源等)的安全保护状况进行检测评估的活动。为加强集团公司信息系统安全管理,落实网络安全等级保护制度、全面开展等级保护工作、实现等级保护全覆盖、提升集团公司信息系统安全防护能力的工作要求,根据中共中国铁路总公司党组关于进一步加强铁路网络安全和信息化工作的通知(铁总党201928号),根据中华人民共和国计算机信息系统安全保护条例、信息安全技术网络安全等级保护基本要求、信息安全技术网络安全等级保护测评要求、信息安全等级保护管理办法等政策法规及文件要求,为了持续有效提高信息系统的安全防护能力,科学技术研究所信息系统安全测评及风险评估工作组对集团公司现有已备案信息系统进行全面的信息系统安
3、全测评与风险评估工作。1等级保护测评概述等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。开展信息系统等保测评的机构必须是通过公安三所审核通过的具备等级保护测评资质的机构。1.1等保测评现状据调查西安现有7 家公司具备网络安全等级保护测评资质,包括:陕西思安信息网络安全有限公司、西安捷润数码科技有限公司、西安尚易安华信息科技有限责任公司、陕西省网络与信息安全测评中心、西安秦易信息技术有限公司、西安西电安行永道信息安全技术有限公司、西安长盛信安信息技术有限公司。其中
4、陕西省网络与信息安全测评中心是陕西省境内唯一的事业单位,其余机构均为民营企业。铁路行业已依法推进等保测评工作,目前铁路行业只有中国铁道科学研究院集团有限公司信息系统与信息安全评测中心取得等保测评机构推荐证书。据统计,西安局集团公司现存一级信息系统118个,二级信息系统5 9 个,三级信息系统49 个,四级信息系统3个,截止2 0 2 2 年底,已完成所有已备案信息系统的等保测评工作及测评报告。1.2测评机构申请根据2 0 2 2 年1月10 日,中关村信息安全测评联盟发布了网络安全等级测评与检测评估机构自西铁科技2/202320关于信息系统安全等级保护测评机构资格认证及测评内容的探讨研究与探讨
5、律规范,成为会员单位基本条件应具备以下基本条件:(1)获得国家认证认可监督管理委员会授权的认证机构(以下简称“认证机构)颁发的网络安全等级测评与检测评估机构服务认证证书;(2)法定代表人、股东(若有)、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(3)具有网络安全等级测评师(以下简称测评师)不少于15 人(大学本科以上学历所占比例不低于7 0%,高级测评师不少于1人,中级测评师不少于5 人),专职渗透测试人员不少于2 人。会员单位实行目录管理。满足会员单位基本条件,同时符合章程和本规范的要求,自愿申请加人联盟并按有关程序成为会员单位的,联盟将在网络安全等级保护网公布机构
6、目录。1.3测评机构能力要求(见表1)2等级保护测评内容2.1测评工作原则符合性原则:应符合国家信息安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行规范性原则:项目实施应依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患,最小影响原则
7、:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为表1序号机构条件和能力I级机构要求1产权关系明晰,注册资金5 0 0 万元以上基本条件具有网络安全相工作经历的技术和管理,员不少于15 人;2专职渗测试人员不少于2 人:测评机构能按一定方式组织并设立相关部门明确其职责、3权限和相互关系,保证各项工作的有序开展测评机构具有胜任等级测评工作的专业术人员和管理人4组织管理能力员,大学本科(含)以上学历所占比例
8、不低于7 0%测评机构设置满足等级测评工作需要的岗位,如测评技术5员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等,岗位职责明确,人员稳定测评技术员、测评项目组长和技术主管岗位人员应分别取6得初、中、高级等级测评师证书,测评数量不应少于15 人测评人员除具备等级测评师资格外,每年参加多种形式的7测评业务和技术培训,测评师每年训时长累计不少于40学时测评机构指定一名技术主管,全面负责等级测评方面的技8术工作测评机构能通过提供案例、过程记录等资料,证明其具有9从事网络安全检测评估相关工作2 年以上的工作经验测评实施能力安全技术测评实施能力,包括物理和环境安全、网络和通10
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关于 信息系统安全 等级 保护 测评 机构 资格 认证 内容 探讨
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。