网络安全等级测评之等级保护风险评估与差距分析
2020-07-30 15:23
等级测评是网络安全等级保护工作中非常重要的一环。网络和信息系统的运营、使用单位或者主管部门应当选择合规、专业的测评机构,定期对信息系统安全等级状况开展等级测评。二级信息系统每两年至少进行一次等级测评,三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评,五级应当依据特殊安全需求进行等级测评。测评结束后,测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
风险评估和差距分析又是等级测评的其中两个重要部分,今天就给大家分享一下风险评估与差距分析的相关内容。
一、风险评估
1、评估的目标
①了解企业的信息管理系统的管理制度,以及企业的网络、系统的安全状况;
②确认对企业资产会造成危害的因素;
③确认威胁实施的可能性;
④对企业资产在受到危害时,确定旗下资产根据各种对比,哪些资产是最重要的;
⑤确定最重要的、最敏感的资产一旦发生威胁,其存在的潜在的损失或破坏;
⑥明确信息系统已经有的安全措施的有效性;
⑦明晰信息系统的所有安全管理需求。
2、评估内容
①资产识别与赋值;
②主机安全性评估;
③数据库安全性评估;
④安全设备评估。
此外还值得注意的是,现场风险评估主要会用到这几种方法:漏洞扫描、控制台审计、技术访谈。
3、评估分析
根据现场收集的信息和对这些信息的分析,形成定级信息系统的弱点评估报告、风险评估报告等文档,客观充分的了解到信息系统存在的风险,这将作为等保差距分析中的一项重要输入,并作为后期整改建设的重要依据。
二、差距分析
1、准备差距分析表
项目组需要准备以下的差距分析表,确认好现场沟通的对象,做好相应准备工作:
①安全技术差距分析表;
②安全管理差距分析表;
③系统运维差距分析表;
④物理安全差距分析表。
2、现场差距分析
在差距分析阶段,需要对信息系统的现状了解详细,并通过分析资料和数据确认信息系统的建设是否符合该等级的安全要求:
①查验文档资料;
②人员访谈;
③现场测试。
3、生成差距分析报告
根据收集的分析材料和记录,找出信息系统与等级保护安全要求之间的差距,明确不符合的内容,生成《等级保护差距分析报告》。
最后,根据测评报告,企业可以自行组织整改或者委托专业的第三方进行整改。整改即按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。整改完成后,企业应当将整改报告报公安机关备案。