NO.20 等級保護備案和測評的流水賬

十一月在忙公司今年的等保事項，三級系統要求每年完成一次測評嘛。2017年馬上要結束了，公司幾個三級系統的測評還沒做完，時間還是蠻緊張的。這次總共完成一個二級新系統的測評，兩個三級系統的測評，和一個新的雲上三級系統的備案+測評，感覺基本把所有情況都接觸到了吧。

我可能更多是從甲方對接人的角度來說這件事情，具體的測評細節，畢竟不是測評工程師，會很多說不清楚的。

這次採購的測評機構為本行業的信息安全中心，由部委牽頭成立的那種，成立的時間還不長。以後是不是每個行業都會由官方牽頭成立信息安全測評機構了？也滿足《網路安全法》對於行業組織的要求。

測評項主要包括幾類 網路、主機、資料庫、應用、物理、管理、系統。

大概的流程：

先說備案

1 新的雲上三級系統首先要開定級評審會，不是你想定三級就能定三級。由測評機構幫忙請了三位專家參加定級評審會。大概就是介紹一下系統基本功能，結合定級指南矩陣圖說明該系統需要定為三級，專家組表示同意後，出具評審意見，該系統定為三級。

2 攜帶等級保護備案表、定級報告、信息安全承諾書，並刻成光碟。於定級日期30日內，至當地網安部門進行備案。

3 梳理資產、了解每個系統的應用伺服器、資料庫伺服器等等共有多少台，以及他們的網路拓撲圖，和網路設備及安全設備的部署狀況。

4 查看網路設備及安全設備的策略。

5 分別對每個系統的主機、資料庫、系統、應用進行訪談及測試。

5.1 抽查主機、資料庫，由測評人員登陸該系統伺服器查看其各項安全配置。記錄配置信息，對比三級要求。

5.2 訪談系統管理員，了解該系統安全功能設計。比如密碼強度策略、許可權管理策列、登陸超時策略等等。

5.3 對該系統應用進行滲透測試、漏洞掃描。

6 查看機房屋裡環境，防水防電防盜防火等等。雲上系統，直接提供雲服務商的測評報告。

7 查看公司各項信息安全管理制度，對安全管理人員進行訪談，與三級管理標準進行對比。

8 之後由測評機構出具差距分析報告（我還沒進行到這步） 我們進行整改。整改後請測評機構對不合格的地方進行複查，合格後出具等保測評報告。

9 在拿到測評報告30日內，至當地網安部門提交測評報告。

OVER

還沒做完，大概先說個流水賬。

下周去參加一個ISO27000的培訓（蹭課） 以前說過對合規還挺感興趣的 去學學看。

Engineering For The Win

2017.11.30