没有合适的资源?快使用搜索试试~ 我知道了~
信息系统安全等级保护测评过程指南 (2).pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 182 浏览量
2022-10-23
12:36:04
上传
评论
收藏 1.53MB PDF 举报
温馨提示
试读
55页
。。。
资源推荐
资源详情
资源评论
信息安全技术信息系统安全等级保护测评过程指南
引言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院
147 号令)、《国家信息化领导小组关于加强信息安全保障工作的意
见》(中办发[2003]27 号)、《关于信息安全等级保护工作的实施意
见》(公通字[2004]66 号)和《信息安全等级保护管理办法》(公
通字[2007]43 号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
-—GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南;
——GB/T22239-2008 信息安全技术信息系统安全等级保护基本要
求;
——GB/TCCCC—CCCC 信息安全技术信息系统安全等级保护实施
指南;
——GB/TDDDD-DDDD 信息安全技术信息系统安全等级保护测评要
求。
信息安全技术
信息系统安全等级保护测评过程指南
1 范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作
的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单
位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息
系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安
全保护现状进行的测试评价,获取信息系统的全面保护需求。
2 规范性引用文件
下列文件中的条款通过在本标准中的引用而成为本标准的条款 .凡是
注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订
版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是
否使用这些文件的最新版本。凡是不注明日期的引用文件,
其最新版本适用于本标准。
GB/T5271.8 信息技术词汇第 8 部分:安全 GB17859-1999 计算机信
息系统安全保护等级划分准则 GB/T22240—2008 信息安全技术信息
系统安全等级保护定级指南 GB/T22239—2008 信息安全技术信息系
统安全等级保护基本要求 GB/TCCCC-CCCC 信息安全技术信息系
统安全等级保护实施指南 GB/TDDDD-DDDD 信息安全技术信息系
统安全等级保护测评要求《信息安全等级保护管理办法》 (公通字
[2007]43 号)
3 术语和定义
GB/T5271.8 、 GB17859—1999 、 GB/TCCCC—CCCC 和
GB/TDDDD—DDDD 确立的以及下列的术语和定义适用于本标准。
3.1
优势证据 superiorevidence
对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛
盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证
明力明显大于其他测评结果的证明力的那个 (些)测评结果即为优势
证据。
4 等级测评概述
4。1 等级测评的作用
依据《信息安全等级保护管理办法》(公通字[2007]43 号),信息
系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进
行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评
要求》等管理规范和技术标准 ,检测评估信息系统安全等级保护状况
是否达到相应等级基本要求的过程 ,是落实信息安全等级保护制度的
重要环节.
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进
行现状分析,确定系统的安全保护现状和存在的安全问题 ,并在此基
础上确定系统的整改安全需求。
在信息系统运维过程中,信息系统运营、使用单位定期委托测评机构
开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安
全 管 控 能 力 进 行 考 察 和 评 价 , 从 而 判 定 信 息 系 统 是 否 具 备
GB/T22239—2008 中相应等级安全保护能力.而且,等级测评报告是
信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要
附件材料。等级测评结论为信息系统未达到相应等级的基本安全保护
能力的,运营、使用单位应当根据等级测评报告,
制定方案进行整改,尽快达到相应等级的安全保护能力.
4。2 等级测评执行主体
可以为三级及以上等级信息系统实施等级测评的等级测评执行主体
应具备如下条件:在中华人民共和国境内注册成立(港澳台地区除外);
由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台
地区除外);从事相关检测评估工作两年以上,无违法记录;
工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录;
使用的技术装备、设施应当符合《信息安全等级保护管理办法》(公
通字[2007]43 号)对信息安全产品的要求;具有完备的保密管理、
项目管理、质量管理、人员管理和培训教育等安全管理制度;对国家
安全、社会秩序、公共利益不构成威胁。(摘自《信息安全等级保护
管理办法》(公通字[2007]43 号))
等级测评执行主体应履行如下义务:遵守国家有关法律法规和技术标
准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评
风险;对测评人员进行安全保密教育 ,与其签订安全保密责任书,规
定应当履行的安全保密义务和承担的法律责任,并负责检查落实.
4。3 等级测评风险
等级测评实施过程中,被测系统可能面临以下风险.
4.3。1 验证测试影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测
试内容需要上机查看一些信息 ,这就可能对系统的运行造成一定的影
响,甚至存在误操作的可能.
4。3.2 工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测
试甚至抗渗透能力测试.测试可能会对系统的负载造成一定的影响,
漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚
至伤害.
4.3.3 敏感信息泄漏
泄漏被测系统状态信息,如网络拓扑、IP 地址、业务流程、安全机制、
安全隐患和有关文档信息.
4.4 等级测评过程
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的
初次等级测评给出。运营、使用单位的自查或受委托测评机构对已经
实施过一次(或以上)等级测评的被测系统的等级测评,测评机构和
测评人员可以根据实际情况调整部分工作任务,具体原则见附录 A.
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、
现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈
应贯穿整个等级测评过程。
4。4。1 测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效
性的保证 .测评准备工作是否充分直接关系到后续工作能否顺利开
展。本活动的主要任务是掌握被测系统的详细情况 ,准备测试工具,
为编制测评方案做好准备.
4。4。2 方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文
剩余54页未读,继续阅读
资源评论
xxpr_ybgg
- 粉丝: 6449
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功