等级保护的主要依据是什么意思
等级测评主要依据《信息系统安全等级保护基本要求》GB/T22239和《信息系统安全等级保护测评要求》GB/T28448,两个标准是配套使用的,基本要求是写的各级别测评的具体要求有哪些,测评要求主要写的是这个要求具体要怎么去测。但一些特定行业出了等保的行业标准,需要依据行业标准进行测评,如金融、证券、广电、电力、医院、电子政务外网、税务等。
###《信息系统安全等级保护基本要求》GB/T22239
本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求 两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各 种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
基 本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统 的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录A。
对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施。
###《信息系统安全等级保护测评要求》GB/T28448
本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。对第五级等级保护对象的安全测评要求不在本标准中描述。
本标准为安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评提供指南,也可供网络安全职能部门依法进行的网络安全等级保护监督检查参考使用。
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法参见GB/T 28449—2018。
本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。测评实施的内容完全覆盖了GB/T 22239—2018及GB/T 25070—2018中所有要求项的测评要求,使用时应当从单项测评的测评实施中抽取出对于GB/T 22239—2018中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导等级测评活动。
根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象的安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将与其相关的人员及管理文档确定为管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。