,信息系统,平安等级保护测评过程报批稿,北京电子科技学院,二一一年十一月,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,引言,等级测评是测评机构依据国家信息平安等,级保护制度规定,受有关单位委托,按照?信,息系统平安等级保护测评要求?等管理标准和,技术标准,对非涉及国家秘密信息系统平安等,级保护状况进行检测评估的活动。,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,等级测评的作用,一是可以掌握信息系统平安状况、排查系统平安隐患和薄弱环,节、明确信息系统平安建设整改需求;,二是衡量信息系统的平安保护管理措施和技术措施是否符合等级保护根本要求,是否具备了相应的平安保护能力。,等级测评结论为未到达相应等级的根本平安保护能力的信息系,统,其运营、使用单位应当根据等级测评报告,制定方案进行,整改,尽快到达相应等级的平安保护能力。,等级测评执行主体,符合?信息平安等级保护管理方法?公通字200743号和,?信息平安等级保护测评工作管理标准?试行要求的测评,机构。,等级测评执行主体应履行的义务,遵守国家有关法律法规和技术标准,提供平安、客观、公正的,检测评估效劳,保证测评的质量和效果;,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防,范测评风险;,对测评人员进行平安保密教育,与其签订平安保密责任书,规,定应当履行的平安保密义务和承担的法律责任,并负责检查落,实。,等级测评风险,1,、验证测试可能影响系统正常运行,2,、工具测试可能影响系统正常运行,3,、敏感信息泄漏,等级测评过程,等级测评过程分为四个根本测评活动:测评准,备活动、方案编制活动、现场测评活动、分析,及报告编制活动。,等级测评过程,测评准备活动,主要任务是掌握被测系统的详细情况,准备,测试工具,为编制测评方案做好准备。,方案编制活动,主要任务是确定与被测信息系统相适应的,测评对象、测评指标及测评内容等,并根,据需要重用或开发测评实施手册,形成测,评方案。,等级测评过程,现场测评活动,本活动的主要任务是按照测评方案的总体要,求,严格执行测评实施手册,分步实施所有,测评工程,包括单元测评和整体测评两个方,面,以了解系统的真实保护情况,获取足够,证据,发现系统存在的平安问题。,等级测评过程,分析与报告编制活动,主要任务是根据现场测评结果,通过单项测评,结果判定、单元测评结果判定、整体测评和风,险分析等方法,找出整个系统的平安保护现状,与相应等级的保护要求之间的差距,并分析这,些差距导致被测系统面临的风险,从而给出等,级测评结论,形成测评报告文本。,等级测评过程,等级测评过程,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,测评准备活动的目标,顺利启动测评工程,准备测评所需的相关资,料,为顺利编制测评方案打下良好的根底。,测评准备活动的工作流程:,测评准备活动的主要任务,测评机构组建等级测评工程组,获取测评委,托单位及被测系统的根本情况,从根本资料、,人员、方案安排等方面为整个等级测评工程,的实施做根本准备。,测评准备活动的主要任务,测评委托单位应提供被测系统总体描述文件,详细,描述文件,平安保护等级定级报告,系统验收报告,,平安需求分析报告,平安总体方案,自查或上次,等级测评报告如果有,测评委托单位的信息化,建设状况与开展以及联络方式等文件,并配合测评,机构准确填写信息系统根本信息调查表。,工程启动阶段的工作,测评准备活动的主要任务,信息收集和分析,测评机构通过查阅被测系统提供的资料以及测评,委托单位配合填写的信息系统根本信息调查表,,了解整个系统的构成和保护情况,为编写测评方,案和开展现场测评工作奠定根底。,信息收集和分析阶段的工作,委托单位需提交根本资料,定级报告,验收报告,信息化建设状况,总体描述文件,详细描述文件,平安需求分析报告,自查或上次测评报告,联系方式,工具和表单准备阶段的工作,测评准备活动中双方的职责,测评机构职责:,1、组建等级测评工程组。,2、指出测评委托单位应提供的根本资料。,3、准备被测系统根本情况调查表格,并提交给测评委托单位。,4、向测评委托单位介绍平安测评工作流程和方法。,5、向测评委托单位说明测评工作可能带来的风险和躲避方法。,6、了解测评委托单位的信息化建设状况与开展,以及被测系统,的根本情况。,7、初步分析系统的平安情况。,8、准备测评工具和文档。,测评准备活动中双方的职责,测评委托单位职责:,1、向测评机构介绍本单位的信息化建设状况与开展情况。,2,、准备测评机构需要的资料。,3,、为测评人员的信息收集提供支持和协调。,4、准确填写信息系统根本信息调查表。,5、根据被测系统的具体情况,如业务运行顶峰期、网络布置情,况等,为测评时间安排提供适宜的建议。,6,、针对工具测评可能造成的风险制定应急预案。,测评过程指南-第二局部,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,方案编制活动的目标,方案编制活动的工作流程,方案编制活动的主要任务,方案编制活动中双方的职责,测评过程指南-第三局部,方案编制活动的目标:,整理测评准备活动中获取的信息系统相关资料,为,现场测评活动提供最根本的文档和指导方案。,方案编制活动的工作流程:,方案编制活动包括测评对象确定、测评指标确定、,测试工具接入点确定、测评内容确定、测评实施手,册开发及测评方案编制六项主要任务。,测评过程指南-第三局部,方案编制活动的工作流程图:,测评过程指南-第三局部,测评工具接入点,确定,测评指标确定,测评对象确定,测评方案编制,测评内容确定,测评实施手册,开发,方案编制活动中双方的职责:,测评机构职责:,1,、详细分析被测系统的整体结构、边界、网络区域、,重要节点等。,2、初步判断被测系统的平安薄弱点。,3,、分析确定测评对象、测评指标和测试工具接入点,,确定测评内容及方法。,4,、编制测评方案文本,并对其内部评审,并提交被测,机构签字确认。,测评委托单位职责:,对测评方案进行认可,并签字确认。,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,现场测评活动的工作流程,现场测评活动的主要任务,现场测评活动的输出文档,现场测评活动中双方的职责,现场测评活动,现场测评活动的工作流程,现场测评准备,结果确认和资料归还,现场测评和结果记录,现场测评准备,现场测评活动的主要任务,现场测评一般包括,访谈,文档审查,配置检查,工具测试,实地观察,结果确认和资料归还,任务,输出文档,文档内容,现场测评准备,会议记录、确认的测评授权书、,更新后的测评计划和测评程序,工作计划和内容安排,双方人,员的协调,测评委托单位应提,供的配合,访谈,技术安全和管理安全测评的测,评结果记录或录音,访谈记录,文档审查,管理安全测评的测评结果记录,管理制度和管理执行过程文档,的记录,配置检查,技术安全测评的网络、主机、,应用测评结果记录,检查内容的记录,工具测试,技术安全测评的网络、主机、,应用测评结果记录,工具测试,完成后的电子输出记录,备份,的测试结果文件,漏洞扫描、渗透性测试、性能,测试、入侵检测和协议分析等,内容的技术测试结果,实地察看,技术安全测评的物理安全和管,理安全测评结果记录,检查内容的记录,测评结果确认,现场核查中发现的问题汇总、,证据和证据源记录、测评委托,单位的书面认可文件,测评活动中发现的问题、问题,的证据和证据源、每项检查活,动中测评委托单位配合人员的,书面认可,现场测评活动的输出文档,现场测评活动中双方的职责,测评机构职责:,利用访谈、文档审查、配置检查、工具测试和实地观察的方法测评被测系统的保护措施情况,并获取相关证据。,测评委托单位职责:,1,、测评前备份系统和数据,并确认被测设备状态完好。,2、协调被测系统内部相关人员的关系,配合测评工作的开展。,3、相关人员答复测评人员的问询,对某些需要验证的内容上机,进行操作。,4、相关人员确认测试前协助测评人员实施工具测试并提供有效,建议,降低平安测评对系统运行的影响。,5,、相关人员协助测评人员完成业务相关内容的问询、验证和测,试。,6,、相关人员对测评结果进行确认。,7,、相关人员确认工具测试后被测设备的状态完好。,主要内容,引言,第一局部:等级测评概述,第二局部:测评准备活动,第三局部:方案编制活动,第四局部:现场测评活动,第五局部:分析与报告编制活动,分析与报告编制活动的工作流程,分析与报告编制活动的主要任务,分析与报告编制活动的输出文档,分析与报告编制活动中双方的职责,分析与报告编制活动,分析与报告编制活动的工作流程,分析与报告编制活动的主要任务,单项测评结果判定,单元测评结果判定,整体测评,风险分析,等级测评结论形成,测评报告编制,任务,输出文档,文档内容,单项测评结果判定,等级测评报告的单元,测评的结果记录部分,分析被测系统的安全现状(各个层面的基本,安全状况)与标准中相应等级的基本要求的,符合情况,给出单项测评结果。,单项测评结果汇总分析,等级测评报告的单元,测评的结果汇总部分,汇总统计单项测评结果,给出针对每个对象,的单元测评结果。,整体测评,等级测评报告的整体,测评部分,分析被测系统整体安全状况及对单项测评结,果的修订情况。,风险分析,等级测评报告的风险,分析和评价部分,分析被测系统存在的风险情况。,等级测评结论形成,等级测评报告的等级,测评结论部分,对测评结果进行分析,形成等级测评结论。,测评报告编制,等级测评报告,单项测评记录和结果,单项测评结果汇总,,整体测评过程及结果,风险分析过程及结,果,等级测评结论,安全建设整改建议等。,分析与报告编制活动的输出文档,分析与报告编制活动中双方的职责,测评机构职责:,1,、分析并判定单项测评结果和整体测评结果。,2,、分析评价被测系统存在的风险情况。,3,、根据测评结果形成等级测评结论。,4、编制等级测评报告,说明系统存在的平安隐患和缺陷,并,给出改进建议。,5,、评审等级测评报告,并将评审过的等级测评报告按照分发,范围进行分发。,6,、将生成的过程文档归档保存,并将测评过程中生成的电子,文档去除。,测评委托单位职责:,签收测评报告。,谢 谢,!,