等级保护测评(第八期)模板

1.3.3等级保护测评方法（1）
测评方法 • 测评采用访谈、检查和测试三种方法，测评对象是测评实施过程 中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、 设备。测评的层面涉及物理安全、网络安全、主机安全、应用系 统安全、数据安全以及安全管理。 测评要求 • 使用测评表进行具体检查时，首先按询问、查验、检测等工作方 式将所有检查项目分类。 • 所有以询问方式检查的项目，在与有关人员的谈话或会议上进行； • 所有以查验方式检查的项目，将需要的文档清单在检查现场提交 给被检查方，请被检查方当前提供并进行查验； • 所有需要以检测方式检查的项目，按检测部门或设备分类后，根 据具体情况选择检测顺序。
• 方案编制活动
– 本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案 。本 活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评 内容等,并根据 需要重用或开发测评指导书测评指导书,形成测评方案。
• 现场测评活动
– 本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总 体要 求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和 整体测评两 个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安 全问题。
1.1.4国家对测评机构的基本要求
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进 行测评： • 在中华人民共和国境内注册成立（港澳台地区除外）； • 由中国公民投资、中国法人投资或者国家投资的企事业单位 （港澳台地区除外）； • 从事相关检测评估工作两年以上，无违法记录； • 工作人员仅限于中国公民； • 法人及主要业务、技术人员无犯罪记录； • 使用的技术装备、设施应当符合本办法对信息安全产品的要 求； • 具有完备的保密管理、项目管理、质量管理、人员管理和培 训教育等安全管理制度； • 对国家安全、社会秩序、公共利益不构成威胁。
1.3.1等级保护测评流程（1）
1.3.1等级保护测评流程（1）
测评过程
• 测评准备活动
– 本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测 评准 备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌 握被测系统的详 细情况,准备测试工具,为编制测评方案做好准备。
1.1.12公安部对测评机构的明确要求
对等级测评机构管理相关问题进行了明确，要求开展等级测 评的单位不得从事下列活动： 一是承担信息系统安全建设整改工作； 二是将等级测评任务分包、外包； 三是信息安全产品开发、营销和信息系统集成活动； 四是限定被测评单位购买、试用其指定的信息安全产品； 五是未经许可占有、使用被测评单位有关信息、资料及数据 文件。
1.1.13关于明确信息安全等级保护测评机构管理有关事项的通知
一、进一步规范测评服务管理。根据公安部十一局要求，为 确保测评活动的公正性，承担测评工作的机构不宜从事信息 安全整改、集成服务。 二、提高测评工作装备水平。为统一工具标准，我总队制定 了《信息安全等级保护测评工具选用指引》（以下简称《指 引》），对测评所需的必备工具和选用工具进行了明确。 三、推动信息安全等级保护整改。各级公安网监部门要按照 《广东省深化信息系统安全等级保护工作方案》要求，加大 各类测评机构和安全服务机构的监督指导力度，发挥其作用， 为信息系统运营、使用单位、主管部门提供差距评估、整改 方案制订和实施、安全测评等服务，大力推动信息系统的安 全整改，切实推动我省信息安全等级保护工作深入开展。
分析与报告编制活动的基本工作流程
××安全单元测评结果汇总表
测评对象确定原则和方法（二级）
1. 主机房(包括其环境、设备和设施等),如果某一辅机房中放置了服务于整个信 息 系统或对信息系统的安全性起决定作用的设备、设施,那么也应该作为测评 对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 整个系统的网络拓扑结构; 4. 安全设备,包括防火墙、入侵检测设备、防病毒网关等; 5. 边界网络设备(可能会包含安全设备),包括路由器、防火墙和认证网关等; 6. 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换 机、汇聚层交换机、核心路由器等; 7. 承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库); 8. 重要管理终端; 9. 能够代表被测系统主要使命的业务应用系统; 10. 信息安全主管人员、各方面的负责人员; 11. 涉及到信息系统安全的所有管理制度和记录。 在本级信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络 互联设备以及服务器应至少抽查两台作为测评对象。
当前的信息安全等级保护有关法规
• • • •
•
•
•
• • •
《信息安全等级保护管理办法》（公通字[2007]43号） 广东省计算机信息系统安全保护条例 广东省公安厅关于计算机信息系统安全保护的实施办法 关于贯彻《广东省计算机信息系统安全保护条例》和《广东省公 安厅关于计算机信息系统安全保护的实施办法》的通知 广公 （网监）[2008]633号 《关于开展信息安全等级保护测评体系建设试点工作的通知》 （公信安[2009]812号） 关于明确信息安全等级保护测评机构管理有关事项的通知（广公 （网监）[2009]421号） 关于推动信息安全等级保护测评体系建设和开展等级测评工作的 通知（公信安[2010]303号 ） 信息安全等级保护测评工作管理规范(试行) 信息安全等级测评机构能力要求（试行） 等级测评师培训和考试指南
1.1.10广东省信息安全等级测评工作细则（试行）
计算机信息系统投入使用后，存在下列情形之一的， 应当进行安全自查，同时委托安全测评机构进行安 全测评： （一）变更关键部件； （二）安全测评时间满一年； （三）发生危害计算机信系统安全的案件或安全事 故； （四）公安机关公共信息网络安全监察部门根据应 急处置工作的需要认为应当进行安全测评； （五）其他应当进行安全自查和安全测评的情形。 申请单位认为安全测评报告的合法性和真实性存在 重大问题的，可以向本单位所在地公安机关公共信 息网络安全监察部门提出申诉，提交异议申诉书及 有关证明材料。
测评准备活动
测评计划
方案编制活动的基本工作流程
测评指标确定
• 从GB/T 22239-2008中选择相应等级的安全 要求作为测评指标,包括对SAG三类 安全要 求的选择。
– 举例来说,假设某信息系统的定级结果为:安全 保护等级为 3 级,业务信息安全保护等级为 2 级 ,系统服务安全保护等级为 3 级;则该系统的测
测评对象确定原则和方法（三级）
1. 主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了 服务于信息系统 的局部(包括整体)或对信息系统的局部(包括整体 )安全性起重要作用的设备、 设施的辅机房选取作为测评对象; 2. 存储被测系统重要数据的介质的存放环境; 3. 办公场地; 4. 整个系统的网络拓扑结构; 5. 安全设备,包括防火墙、入侵检测设备和防病毒网关等; 6. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、认 证网关和边界接入设备(如楼层交换机)等; 7. 对整个信息系统或其局部的安全性起作用的网络互联设备,如核 心交换机、汇聚层交换机、路由器等;
1.1.3国家对等级保护测评的要求
• 《管理办法》”等级保护的实施与管理“第十 四条
• 信息系统建设完成后，运营、使用单位或者其主管部门 应当选择符合本办法规定条件的测评单位，依据《信息 系统安全等级保护测评要求》等技术标准，定期对信息 系统安全等级状况开展等级测评。 • 第三级信息系统应当每年至少进行一次等级测评，第四 级信息系统应当每半年至少进行一次等级测评，第五级 信息系统应当依据特殊安全需求进行等级测评。
• 评指标将包括 GB/T 22239-2008“技术要 求”中的 3 级通用安全保护类要求(G3), 2 级业务信息安全类要求(S2),3级系统服务保 证类要求(A3),以及第 3级“管 理要求”中 的所有要求。
测评指标
测试工具接入点确定
现场测评活动的基本工作流程
检查方式
• • • • • 访谈 文档审查 配置检查 工具测试 实地察看
1.1.11广东省转发开展电子政务信息安全风险评估
省发改委、省公安厅、省保密局《转发关于加 强国家电子政务工程建设项目信息安全风险 评估工作的通知》（粤发改高[2009]182号 文） • 省电子政务项目应开展信息安全等级测评和 风险评估工作，作为项目竣工验收的重要内 容。 • 非涉密项目在完成后试运行期间，向相关评 测机构提出评估申请。 • 评测机构与承建单位原则上不能为同一家。 • 等级测评和风险评估费用计入项目总投资。
信息安全等级保护测评
广东计安信息网络培训中心
ห้องสมุดไป่ตู้
目录
第一部分 等级保护测评基础
• 第二部分 等级保护测评要求 • 第三部分 等级保护测评项目管理 • 第四部分 等级保护测评探讨
第一部分 等级保护测评基础
（1）国家和广东省对测评机构的要求回顾 （2）测评和测评机构的概念 （3）等级保护测评方法和技术 （4）等级保护标准体系
1.3.5等级保护测评方法（3）
• 对管理要求
– 对人员方面的要求，重点通过‘访谈’的方式 来测评，检查为辅； – 对过程方面的要求，通过‘访谈’和‘检查’ 的方式来测评； – 对规范方面的要求，以‘检查’文档为主， ‘访谈’为辅
优势证据
• 对单一测评项实施等级测评过程中获得的 多个测评结果之间存在矛盾,且都没有足够 的 证据否定与之矛盾的测评结果的,则测评 结果的证明力明显大于其他测评结果的证 明力的那个(些)测评结果即为优势证据。 • 检查>测试>访谈
1.2.8等级测评师管理
• 测评人员参加由评估中心举办的专门培训、 考试并取得评估中心颁发的《等级测评师 证书》（等级测评师分为初级、中级和高 级）。等级测评人员需持等级测评师证上 岗。
1.2.9测评报告
• 测评机构应按照公安部统一制订的《信息 系统安全等级测评报告模版（试行）》格 式出具测评报告
• 分析与报告编制活动
– 本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合 评价 活动。本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测 评要求》的有关要求,通过单项 测评结果判定、单元测评结果判定、整体测评和风 险分析等方法,找出整个系统的安全保护 现状与相应等级的保护要求之间的差距,并 分析这些差距导致被测系统面临的风险,从而给 出等级测评结论,形成测评报告文本 。
1.3.4等级保护测评方法（2）
• 对技术要求
– ‘访谈’方法：目的是了解信息系统的全局性。 范围一般不覆盖所有要求内容。 – ‘检查’方法：目的是确认信息系统当前具体 安全机制和运行的配置是否符合要求 。范围 一般要覆盖所有要求内容。 – ‘测试’方法：目的是验证信息系统安全机制 有效性和安全强度。范围不覆盖所有要求内容。
广东省公安厅关于计算机信息系统安全保护的实施办法 （一）
• 第二十二条 我省对测评机构实施备案制度。符 合第二十一条规定的条件，承担第二级以上的计 算机信息系统测评工作的机构应当到省公安厅公 共信息网络安全监察部门备案。 • 第二十五条 第二级以上的计算机信息系统建设 完成后，使用单位应当委托符合规定的测评机构 安全测评合格方可投入使用。测评活动应当接受 公安机关公共信息网络安全监察部门的监督。
1.1.15广东省等级保护测评机构
关于发布广东省信息安全等级保护测评机构的公 告 （粤等保办[2010]3号） 供我省信息系统运营、使用单位、主管部门选用 提供各类测评服务（差距评估、验收性测评、 年度测评工作）。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室（工业和信息化部电子 第五研究所） 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公 司
测评对象确定原则和方法（三级）
8. 承载被测系统主要业务或数据的服务器(包括其操作系统和数据 库); 9. 管理终端和主要业务应用系统终端; 10. 能够完成被测系统不同业务使命的业务应用系统; 11. 业务备份系统; 12. 信息安全主管人员、各方面的负责人员、具体负责安全管理 的当事人、业务负责人; 13. 涉及到信息系统安全的所有管理制度和记录。 在本级信息系统测评时,信息系统中配置相同的安全设备、边界网 络设备、网络互联设 备、服务器、终端以及备份设备,每类应至 少抽查两台作为测评对象。