商用密码评估与等保测评 服务-产品介绍
| 版本: V1.0 | 交付方式: 人工服务 |
| 适用于: Windows/Linux/Unix/Android/iOS/其他 | 上架日期: 2021-01-30 08:28:12.0 |
一、商用密码应用安全性评估分为两部分内容:
(1)信息系统规划阶段对密码应用方案的评估;(2)建设完成后对信息系统开展的密码测评。
二、密码应用方案评估主要是依据系统定级情况,审查被测系统责任单位的密码应用设计方案或系统安全设计方案中的密码应用设计部分是否涵盖了所有需采用密码保护的核心资产及敏感信息,已设计的密码保护措施是否均能达到相应等级的密码使用要求或规定。密码应用方案评估可由责任单位委托测评机构进行评估,经过评估的密码应用方案是项目实际测评的重要依据。密码应用方案经过评估或者整改通过后,可进入系统建设阶段。密码应用方案经过评估后,应上报主管部门审核,由密码管理部门备案。
三、信息系统开展的实际密码测评,按照《信息系统密码应用基本要求》,结合《信息系统密码测评要求》给出每个要求条款的测评实施方法。首先给出总体要求、典型密码产品应用、密码功能的测评实施方法,然后从密码技术应用的物理和环境、网络和通信、设备和计算、应用和数据、密钥管理及安全管理六个方面进行测评。测评过程分为四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈应贯穿整个测评过程。
商用密码应用安全性评估-企业版-针对评估服务器数量在0-50台之间;
商用密码应用安全性评估-高级版-针对评估服务器数量在50-100台之间;
商用密码应用安全性评估-旗舰版-针对评估服务器数量在100台以上;
备注:出具建设方案评估报告额外增加3万元;若系统本身为云平台的额外增加3万元。
四、等保测评依据
网络安全等级保护测评依据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级信息系统遵循的标准进行综合性测评,提出相应的安全评审意见。
五、等保测评方法和工具
1.在等级保护测评过程中,应采用询问、检查、测试、工具扫描等多种手段组合的方式。测评方法:工具测试、渗透测试、配置检查、人员访谈、文档审查、实地查看。测评工具:漏洞扫描工具、web应用扫描工具、安全配置核查工具、渗透测试工具等。
2.依据《广东省计算机信息系统安全保护条例》第三十条规定,安全服务机构生产、销售或提供网络渗透、扫描工具,需到地级及市公安机关备案。
3.供应商提供项目实施所需安全工具,需出具有关部门的具备正式性质的作业工具备案通知书,若非原生产厂家,需要出具所使用安全工具原生产厂家正版使用以及无偿技术服务支持承诺书。若引起任何知识产权或者相关法律纠纷,由成交供应商承担责任并补偿因此对目标单位造成对损失。
六、等保测评流程
1.定级备案
确定定级对象 →初步确定等级 → 专家评审 → 主管部门审核 → 公安机关备案审查
2.安全建设或整改
按照测评对象的保护等级实施安全建设→或者对测评对象进行安全评估→找出与标准的差距→并且实施整改加固
3.等保测评
对信息系统实施等级测评或者对整改后信息系统实施复查测评;
1)测评准备 2)方案编制 3)现场测评 4)报告编制
4.监督检查
备案单位自查 →行业主管部门督导检查 →公安机关监督检查
等保二级测评服务-通用版-无资产数量要求;
等保三级测评服务-基础版-针对资产数量在0-50台之间;
等保三级测评服务-升级版-针对资产数量在50-100台之间;
等保三级测评服务-旗舰版-针对资产数量在100台以上。
