2011年度卫生行业信息安全等级保护培训-基本要求(发展测评).ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全等级保护实施-测评内容（管理） 在第二级信息系统中，安全管理机构包括5个测评单元。 序号 1 2 3 4 5 岗位设置 安全管理机构 人员配备 授权和审批 沟通与合作 审核和检查 信息安全等级保护实施-测评内容（管理） 安全管理制度 在被测系统中，安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔字结构的文档体系。 信息安全等级保护实施-测评内容（管理） 安全管理制度文档体系 信息安全等级保护实施-测评内容（管理） 从安全等级第一级到第四级，安全管理制度设置测评单元的情况。 层面 信息系统 一级 二级 三级 四级 安全管理制度 2 3 3 3 1-2 1-3 1-3 1-3 信息安全等级保护实施-测评内容（管理） 在第二级信息系统中，安全管理制度包括3个测评单元。 序号 1 2 3 管理制度 安全管理制度(四级) 制订和发布 评审和修订 信息安全等级保护实施-测评内容（管理） 人员安全管理 人员安全管理包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。 信息安全等级保护实施-测评内容（管理） 从安全等级第一级到第四级，人员安全管理设置测评单元的情况。 层面 信息系统 一级 二级 三级 四级 人员安全管理 4 5 5 5 1-2 4-5 1-5 1-5 1-5 信息安全等级保护实施-测评内容（管理） 在第二级信息系统中，人员安全管理包括5个测评单元。 序号 1 2 3 4 5 人员录用 人员安全管理 人员离岗 人员考核 安全意识教育和培训 第三方人员访问管理 信息安全等级保护实施-测评内容（管理） 系统建设管理 系统建设管理包括系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。 信息安全等级保护实施-测评内容（管理） 从安全等级第一级到第四级，系统建设管理设置测评单元的情况。 层面 信息系统 一级 二级 三级 四级 系统建设管理 9 9 10 10 1 2-10 1 2-10 1-10 1-10 信息安全等级保护实施-测评内容（管理） 在第二级信息系统中，系统建设管理包括9个测评单元。 序号 1 2 3 4 5 6 7 8 9 10 系统定级 系统建设管理 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 信息安全等级保护实施-测评内容（管理） 系统运维管理 系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。 信息安全等级保护实施-测评内容（管理） 从安全等级第一级到第四级，系统运维管理设置测评单元的情况。 层面 信息系统 一级 二级 三级 四级 系统运维管理 10 13 13 13 1-8 11-12 1-13 1-13 1-13 信息安全等级保护实施-测评内容（管理） 在第二级信息系统中，系统运维管理包括9个测评单元。 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 环境管理 系统运维管理 资产管理 设备管理 介质管理 监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 备份和恢复管理 安全事件处置 应急计划管理 网络安全测评内容与常见问题 结构安全 具体测评内容：a)应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠