等级保护测试实施方案

小结
运营、使用单位或主管部门 选择符合要求的测评机构进 行等保测评
3级系统每年一次等保测评； 4级系统每半年进行一次等保
测评； 5级系统根据特殊安全需求进
行等保测评。
4级及以上系统每两年进行一
次等保测评；
3级以下系统每三年进行一次
等保测评；
期间应每年开展安全自评估；
新系统上线一年后可进行等
第十四条：明确规定，信息系统建设完成后，运营、 使用单位或者其主管部门应当选择符合本办法规定条件 的测评机构，依据《信息系统安全等级保护测评要求》 等技术标准，定期对信息系统安全状况开展等级测评；
第三级信息系统应当每年至少进行一次等级测评，第 四级信息系统应当每半年至少进行一次等级测评，第五 级信息系统应当依据特殊安全需求进行等级测评。
物理相关 负责人
23
安全问题与解决方法匹配
需解决的问题
受测系统筛选 1、选定有一定代表意义的受测系统， 针对选定的系统进行严格的等保测评。
等保测评
2、具备一定权威性的等保测评报告。
安全整改 3、提供安全整改建议，按照安全整 改建议进行整改满足等保基本要求。
解决方法
（一）受测系统筛选方法
1
受测系统业务量； 受测系统重要性； 受测系统实施性。
④ 安全整改确 认
25
（二）等保测评过程和内容：测评准备阶段
1、项目启动
• 组建项目测评组； • 编制项目计划书； • 确定测评委托单位应
提供的资料。
2、资料收集和分析
• 查阅定级报告、系统 描述文件、系统安全 设计方案、自查或上 次等保测评报告；
• 根据查阅到的系统情 况调整调查表内容；
• 发放调查表给测评委 托单位。
21
（二）等保测评过程和内容：测评内容与测评技术
安全测 评内容
物理安全
开放式沟通
问卷调查
安全测评技术
文档分析
现场观察
配置检查
脆弱性自 动识别
UPS等功 能和容量
网络安全 主机安全
受测范 围确定
网络拓扑 结构分析
渗透测试
可能影 响系统
应用安全 数据安全 安全管理
定级和相关 活动访谈
管理层访 谈
业务流程与 数据分析
① 测评工作准 备
② 测评资料收 集
③ 工作启动
① 业务调研 ② 资产调研与
确认 ③ 扫描方案编
制
① 测评工具准 备
② 现场测评准 备
③ 脆弱性自动 检测
④ 安全技术测 评
⑤ 安全管理测 评
Step 4
Step 5
① 综合分析与 结论
② 测评报告编 制
① 安全整改计 划
② 安全整改方 案
③ 安全整改实 施与跟踪
3、等保测评实施，出具权
威性的等保测评报告，提供
安全整改建议。
8
测评范围确定建议
系统范围
1 建立筛选的规则，通过规则进 行对象选择
2 如办公系统、电子商务系统等
物理范围
1 支撑信息系统的机房 2 办公地址 3 其他分子公司
人员范围
1 相关领导 2 信息系统使用及管理相关人员 3 机房使用及管理相关人员
3级系统1年 4级系统半年
有
2012年开展
完成730套
完成300多
3级系统1年
有
信息系统
套信息系统
4级系统半年
2011年开展
完成800套 信息系统
完成200套 左右
3级系统3年 4级系统2年
有（新成立） 2015年开展
90%
3级系统3年
3/1
4级系统2年
新成立
开展较晚
5
已经开展的等级 保护测评工作 信息系统定级； 信息系统测评； 信息系统测评
（二）等保测评过程和内容
2
等级保护测评手段； 等级保护综合测评； 等级保护测评过程。
（三）安全整改建议
3
确定整改期限和责任部门；
2种安全改进建议；
技术改进组合。
24
（二）等保测评过程和内容：5个阶段，20项任务
测评准备
调研与方案编制
现场测评
测评报告
安全整改
Step 1
Step 2
Step 3
6
主题2
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
7
项目需求理解
等级保护测评 的必要性
1、国家要求；
2、行业要求；
3、企业要求。
需解决的问题
项
1、明确受测系统筛选规则，
目
确定受测系统及相关的测评 对象范围；
需
2、明确测评工作目标，安 全测评工作指导，满足等级
求
保护基本要求；
3、工具和表单准备 • 调试测评工具； • 模拟测评； • 准备和打印表单。
26
（二）等保测评过程和内容：方案编制阶段
1、测评对象确认
• 识别被测系统等级； • 识别被测系统的整体结构； • 识别被测系统的边界； • 识别被测系统的网络区域。
2、测评指标确定
• 识别被测系统业务信息和 系统服务安全保护等级；
等级保护测评实施方案
1
主题1
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
2
背景相关内容
① 其他行业测评要求及开展等 保测评情况；
② 等保测评要求及开展等保测 评情况；
③ 各行业开展等保测评对比情 况
2
行业层面
1
国家层面
① 国家法律（定期对定级 的信息系统进行等级测 评）
行业 层面
四级（含）以上信息系统每两年开展一次等保测评， 期间应每年开展安全自评估，如系统与互联网有信息 交换，应每年开展一次等保测评；
等级保护三级（含）以下信息系统每三年开展一次 等保测评，期间应每年开展安全自评估，如系统与互 联网有信息交换，应每两年开展一次测评；首次安全 等级测评应在系统上线后一年内进行。
接入互联网，部分功能对外开放
用户较多
实时性较高
19
17
（二）等保测评过程和内容：等级保护综合测评
物理安全
网络安全
技
术
主机系统安全
要
求
应用安全
数据安全
综合测评
信息 系统
安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理
管 理 要 求
20
（二）等保测评过程和内容：项目测评手段
6个关键因素， 逐步深化
4
等级保护测 评安全整改
建议
信息安全等级保护工作方面的政策、制度文件
14
等保建设依据：实施过程与等级相关标准
行业定级指导
15
等级保护测评项目依据
1) 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）； 2） 《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）； 3） 《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-2012）； 4） 《信息技术 信息安全技术 信息安全管理体系要求》（ISO27001-2013）； 5) 《计算机信息系统安全等级划分准则》（GB17859-1999）及其系列配套标准；
① 对标 ② 合规 ③ 差距 ④ 改进
16
等级保护测评的重要性
信息系统 定级
等级变更
总体安全 规划
新系统
信 息 系
安全设计 统 与实施 等
级 保 护 测 评
安全运行 与维护
信息系统 终止
旧系统
局部调整
信息系统等级保护测评
17
等保测评实施基本要点：3个要点循序渐进
等保测评实施基本要点
受测系统筛选
受测信息系统筛选方法 1
保测评。
4
2、行业开展等保测评工作与其他行业对比
电力 行业
金融 行业
医疗 行业
XX 行业
与电力 行业对 比比重
信息系统定级 信息系统测评 测评周期 专业测评团队 开展情况 测评完成程度
完成984套 信息系统
完成678套 信息系统
3级系统1年 4级系统半年
有
2011年开展
完成700套 信息系统
完成400多 套信息系统
制度分析
数据高可 用性测试
22
（二）等保测评过程和内容：项目配合人员及职责
在信息系统等级保护测评过程中需要 项目双方多人进行配合，需要相关管 理层的配合和影响； 而在测评过程中存在一定的风险，双 方协助配合很重要。
相关管理 层
等级保护测评 配合人员及职
责
信息系统 相关负责 人
信息系统 业务相关 负责人
团队； 信息系统测评
程度 存在不足
3、等级保护测评现状
已经开展
作为等级
过等级保
保护测评
护测评工
试点单位
作
等级保护
测评现状
受测系统 选择
等级保护测评试点单位 测评方法和结果确认； 推动行业等保测评工
作； 确定选择的受测系统
选定有一定代表意义的受测 系统，针对选定的系统进行 严格的等保测评 选择三级以上信息系统； 业务层面代表性的系统； 技术层面代表性的系统；
《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）； 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）； 《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）； 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006）； 《信息安全技术 数据库管理系统安全技术要求》（GB/T 20273-2006）。
• 具备权威性的测评报告
测评报告 • 有测评资质的机构
• 有成熟案例的机构
整改建议
• 安全整改可落地性和可操作性 • 沟通协商一致
11
主题3
1 需求背景 2 需求确认 3 方法论与项目实施 4 项目管理 5 行业案例
12
内容设置
1
信息安全等 级保护政策
和依据
3
等级保护测 评实施过程
和内容
2
等级保护测 评方法论
5、等级测评结论形成
• 统计再次汇总后的单项测 评结果为部分符合和不符 合项的项数；
• 形成等级测评结论。
4、风险分析
• 整体测评后的单项测评结 果再次汇总；
• 分析部分符合或不符合项 所产生的安全问题被威胁 利用的可能性；
• 分析威胁利用安全问题的
可能性。
29
（三）安全改进建议：确定整改期限和责任部门（岗位）
受测系统测评
等级保护测评过程 等级保护测评内容
循序
渐进
2
的过
程
受测系统整改
安全整改建议 安全整改措施
3
18
（一）筛选系统方法：根据受测信息系统特点
办公系统
比较重要，系统定为3级
受测系统的重要性
电子商务系统
比较重要，系统定为3级
业务量较多
业务量
业务量较多
未接入互联网，内部使用 用户较多
实时性较一般
接入互联网 用户规模 实时性
2、单元测评结果确定
• 汇总每个测评对象在每个 测评单元的单项测评结果；
• 判断每个测评对象的单元 测评结果。
3、整体测评
• 分析不符合和部分符合的 测评项与其他测评项（包 括单元内、层面间、区域 间）之间的关联关系及对 结果的影响情况。
6、测评报告编制
• 概述测评项目情况； • 描述被测系统情况； • 描述测评范围和方法； • 描述整体测评情况； • 汇总测评结果。
3、结果确认和资料归还
• 召开现场测评结束会；
• 测评委托单位确定测 评过程中获取的证据 和资料的正确性，并 签字认可；
• 测评人员归还借阅的 测评资料。
28
（二）等保测评过程和内容：报告编制阶段
1、单项测评结果确认
• 分析测评项所对抗威胁的 存在情况；
• 分析单个测评项所对应的 多个测评结果的符合情况。
9
项目目标
安全现状 安全差距
通过等保测评，了解安全现状，包括技术和 管理两个方面
通过对标明确与国家等保要求间的差距和风 险，以及安全改进方向
安全整改
提出整改建议，确保整改后的安全满足等保 要求
建立等级保护测评队伍、培养人才
10
测评实施
测评方法
来自百度文库
• 成熟的测评方法 • 符合相关需求的测评方法
测评 实施
② 政策要求（运营、使用 单位或主管部门选择符 合要求的测评机构进行 等保测评）
③ 标准要求
背景相关内容 3
企业层面
① 已开展的等保测评工作； ② 未开展等保测评现状； ③ 建议等保测评系统；
3
1、国家政策和行业要求
国家 层面
2007年公安部会同国家保密局、国家密码管理局和 国务院信息化工作办公室下发《信息安全等级保护管理 办法》（公通字[2007]43号）；
• 选择对应等级的ASG三类 安全要求作为测评指标。
3、测评工具接入的 确定
• 确定工具测试的测 评对象；
• 限制测试路径。
4、测评内容确定
• 识别每个测评对象 对应的测评指标。
5、测评指导书开发
• 从已有的测评指导 书中选择与测评对 象对应的手册。
6、测评方案编制
• 描述测评项目基本 情况和工作依据。
27
（二）等保测评过程和内容：现场测评阶段
1、现场测评准备
• 召开现场测评启动会；
• 双方确定测评方案；
• 双方确定测评人员、 环境等资源；
• 确定信息系统已经备 份。
2、现场测评和结果记录
• 依据测评指导书实施 测评；
• 记录测评获取的证据、 资料等信息；
• 汇总测评记录，如果 需要，实施补充测评。
评 评价：安全测评评
价、符合性评价
测
技术测试：主机、网络/安全设
查
备漏洞扫描等
查看配置：主机、网络/安全设备、数据库安
观
全配置检查
现场观察：物理环境观察、逻辑结构和物理部署的对比观察
审
查看资料：管理制度和策略的详细分析、管理制度和策略对标分析等
问
调研访谈：业务访谈、资产访谈与确认、安全技术访谈、安全管理访谈等