用戶等保自查表使用說明書_第1頁
用戶等保自查表使用說明書_第2頁
用戶等保自查表使用說明書_第3頁
用戶等保自查表使用說明書_第4頁
用戶等保自查表使用說明書_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

等保自查表使用說明一、適用范圍本“用戶自查說明”適用于指導(dǎo)信息系統(tǒng)安全等級之二級、三級、四級信息系統(tǒng)的用戶進(jìn)行等保自查使用。二、引用文件下列文件中的有關(guān)說明、條款通過引用而成為本說明的一部分。引用文件其后的任何修改(不包含勘誤的內(nèi)容)或修訂版本都不適用于本說明,但推薦參考使用其最新版本?!豆矙C(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范(試行)》《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》《信息系統(tǒng)安全等級保護(hù)基本要求》三、概述根據(jù)736號文件要求,公安機(jī)關(guān)對信息系統(tǒng)進(jìn)行等保檢查時,檢查七個項目:(一)等級保護(hù)工作部署和組織實施情況;(二)信息系統(tǒng)安全等級保護(hù)定級備案情況;(三)信息安全設(shè)施建設(shè)情況和信息安全整改情況;(四)信息安全管理制度建立和落實情況;(五)信息安全產(chǎn)品選擇和使用情況;(六)聘請測評機(jī)構(gòu)開展技術(shù)測評工作情況;(七)定期自查情況。第七項“定期自查情況”主要指:定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及安全技術(shù)措施的落實情況進(jìn)行自查。第三級信息系統(tǒng)是否每年進(jìn)行一次自查,第四級信息系統(tǒng)是否每半年進(jìn)行一次自查。即對于用戶,自查應(yīng)該是全方面的,應(yīng)從管理要求和技術(shù)要求兩大類型,十個層面來完成,其標(biāo)準(zhǔn)依據(jù)是《信息系統(tǒng)安全等級保護(hù)基本要求》用戶開展等保信息系統(tǒng)自查工作是對自身信息系統(tǒng)安全威脅的全面評價和認(rèn)識,是更好確保自身信息系統(tǒng)安全性的基本要求。四、基本概念基本要求提出了級、類、層、項、點,即從“保護(hù)等級”一一“要求類型”——“檢查層面”——“檢查項”到“檢查內(nèi)容點”的五級逐級遞進(jìn)、細(xì)分式安全概念。從而將復(fù)雜的安全概念逐層分解,反過來將繁多的實現(xiàn)細(xì)節(jié)遞歸總結(jié)。保護(hù)等級分為五級:即第一級、第二級、第三級、第四級、第五級;要求類型分為兩類:即“技術(shù)要求”和“管理要求”;檢查層面分為十層:技術(shù)要求分五層,即物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全與恢復(fù);管理要求也分五層:即安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。檢查項分為216項:即第二級管理要求34項、技術(shù)要求32項,共計66項;第三級管理要求37項、技術(shù)要求36項,共計73項;第四級管理要求37項、技術(shù)要求40項,共計77項。?檢查內(nèi)容分為783點:及第二級管理要求96點、技術(shù)要求79點;第三級管理要求154點、技術(shù)要求136點;第四級管理要求170點、技術(shù)要求148點??梢钥闯?,對于用戶自查而言,各等級在“檢查類型、檢查層面”都是一致的,但“檢查項、檢查內(nèi)容”不同。詳情請參考下表:檢杳項址譏一級項三級項匹級項管理要求313737技術(shù)要求323640統(tǒng)計667317檢杳環(huán)窖統(tǒng)汁—級項三級項管區(qū)要求951S417C技術(shù)要求791北1鐵統(tǒng)計175290318

【注】:技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關(guān)。S、A、G概念:根據(jù)保護(hù)側(cè)重點的不同,技術(shù)類安全要求進(jìn)一步細(xì)分為:保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求(簡記為S);保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求(簡記為A);通用安全保護(hù)類要求(簡記為G)。五、自查表填寫數(shù)量分析栓査層■栓査層■S第二靈唇理要束妄全皆理制度盍全昏煙■機(jī)構(gòu)人西左全管理系統(tǒng)運(yùn)雉昏煙物理先全要朮-/網(wǎng)絡(luò)左室要束丄主機(jī)先全要束-/應(yīng)丙克令要求毅雌全與恢煜要卓第三我女全昏理判度系統(tǒng)趙設(shè)恃理乘統(tǒng)運(yùn)維管理械術(shù)要求物理衣全耍隸問絡(luò)先全要朮-/主機(jī)克全要求應(yīng)耳衣全耍束丄教據(jù)先全與恢復(fù)要*-/皆理要求妄金皆廈制度蜚全昏理機(jī)構(gòu)系釜運(yùn)釀昏理披術(shù)塞殺物理左全要求網(wǎng)絡(luò)實室要琪J_主肌克金要求應(yīng)耳衣全耍束丄教雌金£饒簽要求i蓋輔諛量負(fù)計丄11-/-/313_J_2-/J3V丄32土11丄313J2丄3丄J_3-/z1131=3丄2±±3丄J_3±2上圖可以看出,用戶自查時,不論是第二級、第三級或第四級,從需要填寫的Excel表格數(shù)量來說,都是管理要求類表格1個,技術(shù)要求類表格13個,一共14個表格。圖中中加灰色部分可以看出,不論是第二級、第三級或第四級,管理要求部分都沒有對S和A的檢查要求。技術(shù)要求類中的網(wǎng)絡(luò)安全要求沒有對A的檢查要求,數(shù)據(jù)安全與恢復(fù)要求沒有對G的檢查要求。參考附件:自查表格填寫數(shù)量分析.xls六、自查之各等級“檢查項”數(shù)量分析徐護(hù)寺飆檢査層面SAG二囊檢査巫三靈檢査晅四靈檢査頊.牛冷:棗胃茹劇車.占iV.n|, +寺才計七拓;1臺:1-1別沖齊苻佻詩隸":口燈和―址海、曲覽和牛號T拎鳳■灼湘1住怎77W牛擊吉::、俚護(hù)至統(tǒng)理蟻正帛的運(yùn)行■免妥內(nèi)殺統(tǒng)的未提祝惟改、破壞雨導(dǎo)越系環(huán)可.用的膽落保還壟更求(筒記為:一、i冉宙W科"豐擊Kt簡衛(wèi)為G:首哩要寸1、璉営理制度333?.史2苣哩n右555■L,.匸77夕甘評5551.系址建設(shè)管理91111匚宗貳七茫甘評需¥育記三戸審耳:121313恃廠畫阪1.物理安全丟求101010網(wǎng)貂晝?nèi)骨蟀?7三瞋玄TU;^¥-117nm守全標(biāo)記可信踣徑£應(yīng)用空全璽求安全標(biāo)記79■1可信路徑亠辺括云復(fù)芟朮333咎級稱杏項皴章紙計Y311上圖可以看出,第二級管理要求檢查項34項、技術(shù)要求檢查項32項,共計66項;第三級管理要求檢查項37項、技術(shù)要求檢查項36項,共計73項;第四級管理要求檢查項37項、技術(shù)要求檢查項40項,共計77項。上圖中,我們用| |代表第二級中的檢查項,用 代表第三級相對第二級多增的檢查項。即在管理要求類型的系統(tǒng)建設(shè)管理檢查層面多增了對“系統(tǒng)備案、等級測評”的檢查項;在技術(shù)要求類型的網(wǎng)絡(luò)安全檢查層面多增了對“惡意代碼防范”的檢查項;在主機(jī)安全層面多增了對“剩余信息保護(hù)”的檢查項;在應(yīng)用安全層面多增了對“剩余信息保護(hù)、抗抵賴”的檢查項。用代表第四級相對第三級多增的檢查項。即在技術(shù)要求類型的主機(jī)安全檢查層面多增了對“安全標(biāo)記、可信路徑”的檢查項;在應(yīng)用安全檢查層面也多增了對“安全標(biāo)記、可信路徑”的檢查項。參考附件:自查表各等級檢查項數(shù)量分析.xls七、自查之各等級“檢查內(nèi)容”數(shù)量分析自查表各等級檢查內(nèi)容數(shù)量分析.xls從表中可以看出,對于所有的檢查項,從第二級到第三級再到第四級,隨著級別的增加,其包含的檢查內(nèi)容都在增多或至少持平,除了技術(shù)要求類型中“主機(jī)安全、網(wǎng)絡(luò)安全和應(yīng)用安全”這三個檢查層面的“訪問控制”檢查項外。因為隨著安全級別的提升,安全強(qiáng)度要求也在提升,對于“訪問控制”的要求越來越嚴(yán)格,因此級別越高越,基本要求中越是使用更少、更嚴(yán)謹(jǐn)、更緊縮的條件來描述如何才能達(dá)到安全要求,因而檢查內(nèi)容反而減少。八、如何通過使用“自查表”來實施等保自查首先,實施自查的信息系統(tǒng)使用者要對等?;疽笥幸粋€宏觀的把握和了解,要對自查層次、范圍、方式有一定程度的認(rèn)識,因此才有前面從第三章到第七章的各種概念闡述和數(shù)據(jù)分析。其次,相對于基本要求提出的“級、類、層、項、點”,即從“保護(hù)等級”——“要求類型”——“檢查層面”——“檢查項”到“檢查內(nèi)容點”的五級逐級遞進(jìn)、細(xì)分式安全概念,使用者在開展自查工作時要有步驟的進(jìn)行:確定待查信息系統(tǒng)的安全等級;清楚從宏觀上,任何等保信息系統(tǒng)的自查都是從“技術(shù)要求”和“管理要求”這兩個類型展開;3) 清楚第二級、第三級、第四級系統(tǒng)完成自查都需要完成14張Excel表格的填寫;其中有1張表格專門用于對管理要求進(jìn)行安全性檢查,其他13張表格用于對技術(shù)要求進(jìn)行安全性檢查。具體參見第五章。4) 管理要求自查:假設(shè)現(xiàn)在對一個三級系統(tǒng)進(jìn)行自查。管理要求分為5個檢查層面、37個檢查項、154個檢查內(nèi)容點。實際操作如下表所示:1237.EL1.01.a應(yīng)剛定佰鼠妄空工陽前喊肚污姑利宴至轉(zhuǎn)阡說朋47-2.1.01.h囹時妥全玄理活動甲田昔糞薈理F3WN妥全晉理▼5畫質(zhì)手哲理人員超乍日榨理擠陽J67.ELI.01.dM?転■:-:T:a-"3■叩廉"II:;;::I77.E.1.0B.aB7.2.1.02.h中IT??]廳1竝■刪1鹿應(yīng)具有範(fàn)一的格st并迸行麗揑制§li選揮10T-2.1.02.dfl?■■■■:7吋—’「:..117.2.1.OB.e史空?£吐別匱凰注明友布駆-并對收總龍世肓豎]27.2.1.OS.a|-=計"aja訂]4?-2.2.ai.a醱立荷丸安全SSt工作的輪閭門,it立安全主157-E.B.Ol.h(2設(shè)r專翻理員..用絡(luò)晉理員,史住哩員對齒167-2.2.01.cRluZlXB.03?:; : T1 -.1.■--計"a1??.2.2.01.d137u巳2.02.a應(yīng)配備一定敷酗系境;翅員.兩輕住鯉??安全人2亂站bC3童配看咅疇主欝1員|不耳死任?詒進(jìn)捧207.2.2.02.c頼事務(wù)Rrii應(yīng)配爵人北同住理7.22.03.a駅規(guī)據(jù)呂彳嚙門和鹵垃同呪貴明SW賀利1爭項?詒進(jìn)璋227u巳2.03.b直針對爭臨變!E.也?辭、也理誼問初茅鐵按h227-22.uS.?二批應(yīng)定掘?qū)忂清ろ?.融時整恬需按抿和至扯的國請迭捧247.2.3.03.d機(jī)枸.4'.■■.■257.Z2.04.aE?加貫呂敘理人《3左間,蛆擔(dān)応面制^枸勺間貞忑267.呂Z.04.b4”遼.嚴(yán)丫::」m.■i'.■■■■37業(yè)畀?;??專業(yè)田妄全仝司.妻7.Z.3.04.dTF應(yīng)建立葉甲國駐聘耒引耒?包牯壞爭蟲儻容秣.宜自查人員根據(jù)表格順序,對照從面、項、內(nèi)容點,尤其注意一項一項仔細(xì)閱讀檢查內(nèi)容點,然后審查本單位、本系統(tǒng)實現(xiàn)情況是否與“檢查內(nèi)容”欄目中提出的要求相符合,然后進(jìn)行客觀評價,在“自查符合情況”一欄下選菜單中選擇“符合、部分符合、不符合或不適用”等選項,并且在后面的“自查現(xiàn)狀說明”一欄相應(yīng)位置填寫有關(guān)現(xiàn)實情況。管理要求的自查均屬于這類客觀性的,可以進(jìn)行對照的自問自審式內(nèi)容檢查點,不需要借助復(fù)雜的信息技術(shù)工具產(chǎn)品,采用詢問情況(單位內(nèi)部有關(guān)其他部門或人員),查閱、核對材料,調(diào)看記錄、資料等方式即可完成。5)技術(shù)要求自査:假設(shè)現(xiàn)在對一個三級系統(tǒng)進(jìn)行自查。技術(shù)要求自查與管理要求自查略有區(qū)別,從“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全與恢復(fù)”等五個“檢查層面”來看,主要是“物理安全”檢查層面與其他四個檢查層面有不同。對于“物理安全”檢查層面,其自查方法與管理要求自查方法相同,具體請參照第四條執(zhí)行,其自查表格形式如下表示:

2榜勰求S旦在機(jī)馬蛹空路上配直相酬和過電壓厲Ema?的備用電上曲y至至少荷足主曇設(shè)備在斷電愴此下曲正當(dāng)運(yùn)齊宴菇47.L1.09.bI:.11::■7.lui.cjy.ivh;56化 d請選擇對于“網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全與恢復(fù)”檢查層面,因為一個“檢查內(nèi)容點”往往會對應(yīng)多個“資產(chǎn)類型”,參見下表:1與眼目rattoErafidlA4a.fcJ阿刃fl擺產(chǎn)3了可矗】?WTTWq〔■II■嚴(yán)?1磚產(chǎn)胃匸:■3尸于已目MiT.J.tQtiFHS出應(yīng)-■器丘出迪■T.].ZDLb±?:ff耳恵氐廳qsK劇iiXUfi如圖所示,現(xiàn)在檢查的是“網(wǎng)絡(luò)安全”檢查層面的“邊界完整性檢查”這一個“檢查項”,檢查內(nèi)容要求如下:應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷針對這兩項檢查內(nèi)容,用戶系統(tǒng)在實際實施的安全性產(chǎn)品中(即資產(chǎn)類型),既可以通過“安全審計類”產(chǎn)品如“內(nèi)網(wǎng)終端桌面安全綜合管理系統(tǒng)”來實現(xiàn),如下圖:也可以通過部署在網(wǎng)絡(luò)邊界的防火墻來實現(xiàn),如下圖:這類現(xiàn)象正是“網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全與恢復(fù)”等這四個檢查層面和管理要求有區(qū)別的最大不同點

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論