测评过程指南

信息安全等级测评师培训信息安全等级测评师培训信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护测评过程指南测评过程指南测评过程指南测评过程指南公安部信息安全等级公安部信息安全等级保护评估中心保护评估中心袁静袁静1内容目录内容目录1标准概述1.标准概述2标准框架2.标准框架3.主要内容3.主要内容4.测评机构管理4.测评机构管理2目标定位目标定位†《测评过程指南》作为一个对信息系统实施等级测评的指南性文件，其目标是介绍和描述实施信息系统等级测评过程中应该涉及的活动和从事的工作任务通过活动评过程中应该涉及的活动和从事的工作任务，通过活动和任务的介绍，使读者了解和知晓对信息系统实施等级测评的过程和内容，不同的角色在不同活动的作用，不同活动的参与角色、活动内容、输出文档等等。同活动的参与角色、活动内容、输出文档等等。3信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字【【20072007】】4343号）号）†第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评第三级信息系统应当每年至少进行次等级测评第四级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。4信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字【【20072007】】4343号）号）†第十四条（续）†第十四条（续）信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况安全保护制度及措施的落实情况进行自查第三安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。5信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字【【20072007】】4343号）号）†第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：（六）对信息系统开展等级测评的技术测评报告；6主要作用主要作用信息系统安全等级保护测评过程指南新系统建设完成信息系统建设、整改信息系统运维测评机构运营/使用单位运营/使用单位主管部门等级测评现状分析定期自查7与与《《测评要求测评要求》》的关系的关系†《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等，用来评定信息系统的安全保护措施是否符合《基本要求》安全保护措施是否符合《基本要求》。†《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作并对在等级测评过程中何时如何使用《测测评工作，并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。†二者共同指导等级测评工作。8等级测评与其他测评有什么不同？99等级测评等级测评与其他测评的不同与其他测评的不同†目的不同：标准符合性测评†性质不同：《管理办法》强制周期性执行执行主体同符合条件的测评机构†执行主体不同：符合条件的测评机构†执行对象不同：定级的信息系统†执行对象不同：定级的信息系统†内容不同：依据《基本要求》和《测评要求》†结果不同：符合、基本符合、不符合。10工作要求工作要求†依据标准，遵循原则依据标准，遵循原则†恰当选取，保证强度†规范行为，减少风险¾过程规范¾行为规范¾行为规范11主体思路主体思路‡以受委托的测评机构的初次等级测评活动过程为主要线索，给出较全面和复杂的活动过程。‡定义等级测评实施过程的主要活动和任务‡定义等级测评实施过程的主要活动和任务。‡对每个活动介绍和描述活动流程、任务、输出对每个活动介绍和描述活动流程、任务、输出文档和双方职责。‡对每个任务说明输入、主要任务内容和输出/产品等。产品等。12内容目录内容目录1标准概述1.标准概述2标准框架2.标准框架3.主要内容3主要内容4.测评机构管理13标准总体框架标准总体框架†主体由8个章节4个附录构成¾1.范围¾1.范围¾2.规范性引用文件¾3.术语和定义¾4等级测评概述¾4.等级测评概述¾5.测评准备过程¾6.方案编制过程¾7.测评实施过程¾8.分析与报告编制过程¾附录A等级测评工作流程¾附录A等级测评工作流程¾附录B测评对象确定方法¾附录C等级测评工作要求¾附录D测评方案和报告的编制示例¾附录D测评方案和报告的编制示例14《测评过程指南》目录目录说明《测评过程指南》目录目录说明级动一级目录×××活动×××活动的工作流程二级目录活动的工作流程×××活动的主要任务×××活动的输出文档×××活动中双方的职责三级目录×××（任务名称）三级目录×××（任务名称）四级目录×××四级目录×××具体内容具体任务描述15具体内容具体任务描述15主要章节的描述结构主要章节的描述结构†过程—等级测评过程¾活动—大类（一级标题）‹任务“活动”应完成的具体行为‹任务—“活动”应完成的具体行为„任务项—“任务”的具体内容16主要章节的描述结构主要章节的描述结构（举例）（举例）†例如:¾7.现场测评活动¾7.现场测评活动„7.1现场测评活动的工作流程„7.2现场测评活动的主要任务ƒ721现场测评准备ƒ7.2.1现场测评准备ƒ7.2.2现场现场测评和结果记录ƒ7.2.2.1访谈ƒ输入：ƒ任务描述：ƒ输出/产品：输出/产品ƒ……ƒ7.2.3结果确认和资料归还„73现场测评活动的输出文档„7.3现场测评活动的输出文档„7.4现场测评活动中双方的职责17内容目录内容目录1标准概述1.标准概述2标准框架2.标准框架3.主要内容3主要内容4.测评机构管理18等级测评面对的信息系统等级测评面对的信息系统†等级测评面对的信息系统是指由一个或多†等级测评面对的信息系统是指由个或多个不同安全保护等级的定级对象构成的信息系统19主要概念主要概念信息系统†信息系统†定级对象†定级对象†信息系统定级对象关系？†信息系统定级对象20测测项目启动信息收集与分析 测评准备活表单备测测评评动 测评对象确定测评指标确定工具和表单准备流流程程方案编制活动测评内容确定测评工具接入点确定程程测评实施准备动现沟通测评方案编制测评指导书开发测评实施准备现场测评和结果记录结果确认和资料归还现场测评活动与洽谈 单项测评结果判定单元测评结果判定整体测评分析与报告编风险分析21等级测评结论形成测评报告编制编制活动等级测评的主要活动等级测评的主要活动†测评准备活动†测评准备活动†方案编制活动†现场测评活动†分析与报告编制活动22测评准备活动测评准备活动23测评准备活动测评准备活动输入主要任务输出被测系统描述文件定级报委托测评协议书项目启动项目计划书被测系统描述文件、定级报告、验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告（如果有）信息系统基本情况信息收集和分析填好的信息系统基本情况调查表格果有）、信息系统基本情况调查表、项目计划书选用的测评工具清单各种与被测系统相关的技术资料工具和表单准备选用的测评工具清单打印的各类表单：现场测评授权书、文档交接单、会议记录表单、会议签到表单24表单测评准备活动的目标测评准备活动的目标†测评机构组建等级测评项目组，获取测评†测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。25项目启动项目启动†根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组从人员方面做好准备并编制项目计划书目组，从人员方面做好准备，并编制项目计划书。†测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件详细描述文件安全需求分析报告安全总体方案系统验收报告件，详细描述文件，安全需求分析报告，安全总体方案，系统验收报告，安全保护等级定级报告，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等托单位的信息化建设状况与发展以及联络方式等。26项目计划书项目计划书†项目概述†项目概述†技术思路和工作内容†项目实施方案†项目组织方案†项目质量管理和控制27一、项目概述一、项目概述†项目背景†项目背景†项目目的†工作依据28二、技术思路和工作内容二、技术思路和工作内容†技术思路†技术思路†工作内容†工作产品29三、项目实施方案三、项目实施方案†项目实施过程划分†项目实施过程划分†项目准备过程†……30四、项目组织方案四、项目组织方案†项目组织结构†项目组织结构†人员构成和职责†项目实施计划31五、项目质量管理和控制五、项目质量管理和控制†过程质量控制管理†过程质量控制管理†变更控制管理†项目风险管理†保密控制管理32信息收集与分析的目标信息收集与分析的目标†通过查阅被测系统已有资料或使用调查表†通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。33信息收集与分析信息收集与分析†测评机构收集等级测评需要的各种资料†测评机构收集等级测评需要的各种资料。†测评机构将调查表格提交给测评委托单位，督促并协助相关人员准确填写调查表格员准确填写调查表格。†测评机构收回填写完成的调查表格，并初步分析调查结果。†根据调查表格填写情况安排现场调研。†对调查了解到的信息进行综合分析及整理，以进一步了解和熟悉信息系统的实际情况。34调查表调查表†内容全面†内容全面†顺序合理†保留逻辑关联35调查内容调查内容†物理环境信息收集¾机房数量、物理位置¾办公环境†网络信息收集¾网络拓扑图¾网络拓扑图¾网络结构¾系统外联¾系统外联¾网络设备¾安全设备安全设备36调查内容调查内容†主机信息收集¾服务器工作站¾服务器、工作站¾终端—业务终端、管理终端、设备控制台†应用信息收集†应用信息收集¾应用系统¾业务数据¾业务数据†管理信息收集¾机构设置¾机构设置¾人员职责分配¾管理文档¾管理文档37调查结果分析调查结果分析†整体网络结构和系统组成分析†整体网络结构和系统组成分析†定级对象边界和资源构成分析†定级对象的相互关联分析38整体网络结构和系统组成分析整体网络结构和系统组成分析†应对信息系统的范围、构成和应用等总体†应对信息系统的范围、构成和应用等总体情况进行分析，包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等。39整体网络结构和系统组成分析整体网络结构和系统组成分析†网络结构†网络结构¾信息系统总体情况分析应关注信息系统的支撑网络，分析网络结构、网络区域、对外边界等界等4041整体网络结构和系统组成分析整体网络结构和系统组成分析†系统组成†系统组成¾应关注信息系统中定级对象的数量、每个定级对象的级别、每个定级对象所处的网络区域每个定级对象承载的应用情况等域、每个定级对象承载的应用情况等42定级对象边界和资源构成分析定级对象边界和资源构成分析†应针对信息系统中的每个定级对象分析其†应针对信息系统中的每个定级对象分析其系统边界、每个定级对象的资源构成等，主要资源包括硬件资源、软件资源、信息资源和存储介质等。43定级对象边界和资源构成分析定级对象边界和资源构成分析†资源构成¾硬件资源主要包括计算机设备、网络设备、安全设备、输入输出设备和存储介质等；¾软件资源主要包括操作系统、数据库管理系统、通用应用平台、通用应用软件、网络通信软件、网络管理软件、委托开发和自通用应用软件、网络通信软件、网络管理软件、委托开发和自主开发的应用系统等；¾信息资源主要包括数字信息文字信息声音信息和图像信息¾信息资源主要包括数字信息、文字信息、声音信息和图像信息等。44定级对象边界和资源构成分析定级对象边界和资源构成分析†边界分析¾应分析和确定每个定级对象的系统边界，并确定其