信息系统安全等级保护测评过程指南

由天下分享时间：2024/9/10 23:57:19 加入收藏我要投稿点赞

本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。 4.4.3现场测评活动

本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。 4.4.4分析与报告编制活动

本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/TDDDD-DDDD的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。 5测评准备活动

5.1测评准备活动的工作流程

测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。

测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见图1：

页脚

5.2测评准备活动的主要任务 5.2.1项目启动

在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。输入：委托测评协议书。任务描述：

a)根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作容和项目组织等。 b)测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），

页脚

测评委托单位的信息化建设状况与发展以及联络方式等。输出/产品：项目计划书。 5.2.2信息收集和分析

测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。

输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）。任务描述：

a)测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。

b)测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。

c)测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户围、用户类型、被测系统所处的运行

页脚

环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。

d)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。

输出/产品：填好的调查表格。 5.2.3工具和表单准备

测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。输入：各种与被测系统相关的技术资料。任务描述：

a)测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。 b)测评人员模拟被测系统搭建测评环境。

c)准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。

输出/产品：选用的测评工具清单，打印的各类表单。 5.3测评准备活动的输出文档

测评准备活动的输出文档及其容如表1所示：

页脚

5.4测评准备活动中双方的职责测评机构职责： a)组建等级测评项目组。

b)指出测评委托单位应提供的基本资料。