GB/T 28449-2012
基本信息
标准号: GB/T 28449-2012
中文名称:信息安全技术 信息系统安全等级保护测评过程指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:6009KB
相关标签: 信息安全 技术 信息系统 安全等级 保护 测评 过程 指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
GB/T28449-2012
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.020
中华人民共和国国家标准
GB/T28449—2012
信息安全技术
信息系统安全等级保护测评过程指南Information security technology-Testing and evaluation process guide forclassified protection of information system security2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
规范性引用文件
术语和定义
符号和缩略语
等级测评概述
等级测评的作用
5.2等级测评风险
可能影响系统正常运行
5.2.2可能泄漏敏感信息
5.3等级测评风险的规避
等级测评过程概述
测评准备活动
测评准备活动的工作流程
6.2测评准备活动的主要任务
项目启动
6.2.2信息收集和分析
6.2.3工具和表单准备,
6.3测评准备活动的输出文档
6.4测评准备活动中双方的职责
7方案编制活动
7.1方案编制活动的工作流程
7.2方案编制活动的主要任务
7.2.1测评对象确定
测评指标确定
7.2.3测评内容确定
工具测试方法确定
7.2.5测评指导书开发
7.2.6测评方案编制
7.3方案编制活动的输出文档
方案编制活动中双方的职责
现场测评活动
8.1现场测评活动的工作流程·
8.2现场测评活动的主要任务
8.2.1现场测评准备
GB/T28449—2012
GB/T28449-—2012
8.2.2现场测评和结果记录
8.2.2.1访谈
8.2.2.2检查
8.2.2.3测试
8.2.3结果确认和资料归还
8.3现场测评活动的输出文档
8.4现场测评活动中双方的职责
9报告编制活动
9.1报告编制活动的工作流程:
9.2报告编制活动的主要任务
单项测评结果判定
单元测评结果判定
整体测评.
风险分析
等级测评结论形成
测评报告编制
9.3报告编制活动的输出文档
报告编制活动中双方的职责
附录A(资料性附录)
附录B(资料性附录)
等级测评工作流程
测评对象确定准则和样例
测评对象确定准则
B.2测评对象确定样例
第一级信息系统
第二级信息系统
第三级信息系统
第四级信息系统
附录C(资料性附录)等级测评工作要求C.1依据标准,遵循原则
C.2恰当选取,保证强度
规范行为,规避风险
附录D(资料性附录)
测评方案与测评报告编制示例
测评方案编制示例
系统描述
测评对象
测评指标
测评工具和接人点
测评内容
测评指导书
测评报告编制示例
整体测评
安全建设整改建议
附录E(资料性附录)信息系统基本情况调查表模版E.1说明
E.2单位基本情况
参与人员名单
物理环境情况
信息系统基本情况
信息系统承载业务(服务)情况信息系统网络结构(环境)情况外联线路及设备端口(网络边界)情况网络设备情况
安全设备情况
服务器设备情况
终端设备情况
系统软件情况
应用系统软件情况
业务数据情况
数据备份情况
应用系统软件处理流程(多表)业务数据流程(多表)
管理文档情况
安全威胁情况
附录F(资料性附录)
参考文献
信息系统安全等级测评报告模版(试行)GB/T28449-2012
本标准按照GB/T1.1—2009给出的规则起草。GB/T28449—2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:袁静、任卫红、陈雪秀、曲洁、刘静、毕马宁、朱建平、马力、李明、李升、黄洪。GB/T28449--2012
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003727号)《关于信息安全等级保护工作的实施意见》(公通字[2004766号】和信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T22239-2008信息安全技术
信息系统安全等级保护基本要求;-GB/T22240--2008
-GB/T28448-2012
信息安全技术
信息系统安全等级保护定级指南;信息安全技术信息系统安全等级保护测评要求。KaeaaK
1范围
信息安全技术
信息系统安全等级保护测评过程指南GB/T28449—2012
本标准规定了信息系统安全等级保护测评(以下简称“等级测评”)工作的测评过程,对等级测评的活动、工作任务以及每项任务的输人/输出产品等提出指导性建议。本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB17859—1999计算机信息系统安全保护等级划分准则GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T28448—2012信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号)3术语和定义
GB/T5271.8.GB17859-1999和GB/T28448—2012界定的以及下列的术语和定义适用于本文件。
优势证据superiorevidence
测评结果显现的凭据强于其他测评结果的那个/些测评结果视为优势证据。它可用于平衡实施等级测评过程中获得的多个测评结果之间的矛盾。4符号和缩略语
DDN:数字数据网(DigitalDataNetwork)PSTN:公共交换电话网络(PublieSwitchedTelephoneNetwork)SDH:同步数字体系(SynchronousDigitalHierarchy)5等级测评概述
5.1等级测评的作用
依据《信息安全等级保护管理办法》公通字[200743号),信息系统运营、使用单位在进行信息系1
GB/T28449—2012
统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据GB/T222392008GB/T28448-2012等技术标准,检测评估信息系统安全等级保护状况是否符合相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节,在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。在信息系统运维过程中,信息系统运营、使用单位定期对信息系统安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T222392008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料,是判断系统是否可批准开通运行的依据。等级测评结论为不符合的信息系统,其运营、使用单位应当根据等级测评报告,制定方案进行整改。5.2等级测评风险
5.2.1可能影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。另外,还会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络和系统的负载造成一定的影响,渗透测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植人的代码未完全清理等现象。5.2.2可能泄漏敏感信息
泄漏被测信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐惠和有关文档信息。
5.3等级测评风险的规避
在等级测评过程中可以通过采取以下措施规避风险:a)签署委托测评协议。在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工作出现大的分歧。
签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将b)
来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到被测评单位的授权,否则被测评单位将按照保密协议的要求追究测评单位的法律责任。现场测评工作风险的规避。进行验证测试和工具测试之前,测评机构要求运营、使用单位对系统及数据进行备份,并对可能出现的事件制定处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行:上机验证测试由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。测评现场还原。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将在测评过程中植入被测信息系统中的相关代码/程序等进行严格清理。
TrKacaiaiKAca
5.4等级测评过程概述
GB/T28449—2012
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整部分工作任务,具体原则见附录A。等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评双方之间的沟通与治谈应贯穿整个等级测评过程。每一测评活动有一组确定的工作任务。具体如表1所示。
表1等级测评过程
测评活动
谢评准备活动
方案编制活动
现场测评活动
报告缩制活动
主要工作任务
项目启动
信息收集和分析
工具和表单准备
测评对象确定
测评指标确定
测评内容确定
工具测试方法确定
测评指导书开发
测评方案缩制
现场测评准备
现场測评和结果记录
结果确认和资料归还
单项测评结果判定
单元测评结果判定
整体测评
风险分析
等级测评结论形成
测评报告缩制
其中每项活动均有相应的工作流程、主要任务、输出文档及活动中双方的职责,每项工作任务均有相应的输人、任务描述和输出产品。6测评准备活动
6.1测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析,工具和表单准备3项主要任务。这3项任务的基本工作流程见图1。
GB/T28449-2012
6.2测评准备活动的主要任务
6.2.1项目启动
项自启动
信息收集和分析
工具和表单难备
图1测评准备活动的基本工作流程在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测信息系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。输入:委托测评协议书。
任务措述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
b)测评机构要求测评委托单位提供基本资料,例如被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告、信息化建设状况等相关资料,便于对系统有一个较为全面地了解。输出/产品:项目计划书。
6.2.2信息收集和分析
测评机构通过查阅被测信息系统已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。输人:项目计划书、系统调查表格、被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告等相关资料。任务描述:
测评机构收集等级测评需要的相关资料,包括测评委托单位的方针文件、规章制度及相关过程a
管理记录、被测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方案,安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
测评机构将系统调查表格提交给测评委托单位,督促被测信息系统相关人员准确填写调查b)
表格。
测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型,被测信息系统所处的运行环境及面临的威胁等。这些信息可以重用自查报告或上次等级测评报告中的可信结果。如果调查表格信息填写存在不准确,不完善或有相互矛盾的地方,测评机构应与填表人进行沟d)
通和确认,必要时安排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调KicaOiaiKAc
查的准确性和完整性。
输出/产品:填好的调查表格,各种与被测信息系统相关的技术资料。6.2.3工具和表单准备
GB/T28449-2012
测评项目组成员在进行现场测评之前,应熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:
测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能a
测试工具和协议分析工具等。Www.bzxZ.net
b)测评人员模拟被测信息系统搭建测评环境。c)准备和打印表单,主要包括风险告知书、文档交接单、会议记录表单、会议签到表单等。输出/产品:选用的测评工具清单,打印的各类表单。6.3测评准备活动的输出文档
测评准备活动的输出文档及其内容如表2所示。表2测评准备活动的输出文档及其内容任务
项目启动
信息收集和分析
工具和表单准备
项目计划书
输出文档
填好的调查表格,各种与被测信息系统相关的技术资料
选用的测评工具清单
打印的各类表单:风险告知书文档交接单、会议记录表单,会议签到表单测评准备活动中双方的职责
测评机构职责:
组建等级测评项目组。
指出测评委托单位应提供的基本资料。文档内容
项目概述,工作依据、技术思路、工作内容和项目组织等
被测信息系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等
风险告知、交接的文档名称、会议记录项目、会议签到项目
准备被测信息系统基本情况调查表格,并提交给测评委托单位。向测评委托单位介绍安全测评工作流程和方法。d)
向测评委托单位说明测评工作可能带来的风险和规避方法。了解测评委托单位的信息化建设以及被测信息系统的基本情况。初步分析系统的安全状况。
h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设及发展情况。提供测评机构需要的相关资料。b)
GB/T28449—2012
c)为测评人员的信息收集工作提供支持和协调。准确填写调查表格。
根据被测信息系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适e)
宜的建议。
制定应急预案。
7方案编制活动
7.1方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测评内容确定,工具测试方法确定、测评指导书开发及测评方案编制6项主要任务。这6项任务的基本工作流程见图2。测评对象确定
测评内容确定
工具测试方法确定
测评指导书开发
测评方案编制
评指标确定
图2方案编制活动的基本工作流程7.2方案编制活动的主要任务
7.2.1测评对象确定
根据系统调查结果,分析整个被测信息系统业务流程、范围、特点及各个设备的主要功能,确定出本次测评的测评对象。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:
识别并描述被测信息系统的整体结构。根据调查表格获得的被测信息系统基本情况,识别出a
被测信息系统的整体结构并加以描述。描述内容应包括被测信息系统的名称、物理环境、主要设备、网络结构和外部边界连接情况等,并画出完整的网络拓扑图。b)识别并描述被测信息系统的边界。根据填好的调查表格,识别出被测信息系统边界并加以描述。描述内容应包括被测信息系统与其他系统或网络的边界连接方式,如DDN、SDH等;描述各边界主要设备,如防火墙、路由器或服务器等。6
KicaOiaiKAc
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T28449—2012
信息安全技术
信息系统安全等级保护测评过程指南Information security technology-Testing and evaluation process guide forclassified protection of information system security2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
规范性引用文件
术语和定义
符号和缩略语
等级测评概述
等级测评的作用
5.2等级测评风险
可能影响系统正常运行
5.2.2可能泄漏敏感信息
5.3等级测评风险的规避
等级测评过程概述
测评准备活动
测评准备活动的工作流程
6.2测评准备活动的主要任务
项目启动
6.2.2信息收集和分析
6.2.3工具和表单准备,
6.3测评准备活动的输出文档
6.4测评准备活动中双方的职责
7方案编制活动
7.1方案编制活动的工作流程
7.2方案编制活动的主要任务
7.2.1测评对象确定
测评指标确定
7.2.3测评内容确定
工具测试方法确定
7.2.5测评指导书开发
7.2.6测评方案编制
7.3方案编制活动的输出文档
方案编制活动中双方的职责
现场测评活动
8.1现场测评活动的工作流程·
8.2现场测评活动的主要任务
8.2.1现场测评准备
GB/T28449—2012
GB/T28449-—2012
8.2.2现场测评和结果记录
8.2.2.1访谈
8.2.2.2检查
8.2.2.3测试
8.2.3结果确认和资料归还
8.3现场测评活动的输出文档
8.4现场测评活动中双方的职责
9报告编制活动
9.1报告编制活动的工作流程:
9.2报告编制活动的主要任务
单项测评结果判定
单元测评结果判定
整体测评.
风险分析
等级测评结论形成
测评报告编制
9.3报告编制活动的输出文档
报告编制活动中双方的职责
附录A(资料性附录)
附录B(资料性附录)
等级测评工作流程
测评对象确定准则和样例
测评对象确定准则
B.2测评对象确定样例
第一级信息系统
第二级信息系统
第三级信息系统
第四级信息系统
附录C(资料性附录)等级测评工作要求C.1依据标准,遵循原则
C.2恰当选取,保证强度
规范行为,规避风险
附录D(资料性附录)
测评方案与测评报告编制示例
测评方案编制示例
系统描述
测评对象
测评指标
测评工具和接人点
测评内容
测评指导书
测评报告编制示例
整体测评
安全建设整改建议
附录E(资料性附录)信息系统基本情况调查表模版E.1说明
E.2单位基本情况
参与人员名单
物理环境情况
信息系统基本情况
信息系统承载业务(服务)情况信息系统网络结构(环境)情况外联线路及设备端口(网络边界)情况网络设备情况
安全设备情况
服务器设备情况
终端设备情况
系统软件情况
应用系统软件情况
业务数据情况
数据备份情况
应用系统软件处理流程(多表)业务数据流程(多表)
管理文档情况
安全威胁情况
附录F(资料性附录)
参考文献
信息系统安全等级测评报告模版(试行)GB/T28449-2012
本标准按照GB/T1.1—2009给出的规则起草。GB/T28449—2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:袁静、任卫红、陈雪秀、曲洁、刘静、毕马宁、朱建平、马力、李明、李升、黄洪。GB/T28449--2012
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003727号)《关于信息安全等级保护工作的实施意见》(公通字[2004766号】和信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T22239-2008信息安全技术
信息系统安全等级保护基本要求;-GB/T22240--2008
-GB/T28448-2012
信息安全技术
信息系统安全等级保护定级指南;信息安全技术信息系统安全等级保护测评要求。KaeaaK
1范围
信息安全技术
信息系统安全等级保护测评过程指南GB/T28449—2012
本标准规定了信息系统安全等级保护测评(以下简称“等级测评”)工作的测评过程,对等级测评的活动、工作任务以及每项任务的输人/输出产品等提出指导性建议。本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB17859—1999计算机信息系统安全保护等级划分准则GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T28448—2012信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号)3术语和定义
GB/T5271.8.GB17859-1999和GB/T28448—2012界定的以及下列的术语和定义适用于本文件。
优势证据superiorevidence
测评结果显现的凭据强于其他测评结果的那个/些测评结果视为优势证据。它可用于平衡实施等级测评过程中获得的多个测评结果之间的矛盾。4符号和缩略语
DDN:数字数据网(DigitalDataNetwork)PSTN:公共交换电话网络(PublieSwitchedTelephoneNetwork)SDH:同步数字体系(SynchronousDigitalHierarchy)5等级测评概述
5.1等级测评的作用
依据《信息安全等级保护管理办法》公通字[200743号),信息系统运营、使用单位在进行信息系1
GB/T28449—2012
统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据GB/T222392008GB/T28448-2012等技术标准,检测评估信息系统安全等级保护状况是否符合相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节,在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。在信息系统运维过程中,信息系统运营、使用单位定期对信息系统安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T222392008中相应等级安全保护能力。而且,等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料,是判断系统是否可批准开通运行的依据。等级测评结论为不符合的信息系统,其运营、使用单位应当根据等级测评报告,制定方案进行整改。5.2等级测评风险
5.2.1可能影响系统正常运行
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。另外,还会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络和系统的负载造成一定的影响,渗透测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植人的代码未完全清理等现象。5.2.2可能泄漏敏感信息
泄漏被测信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐惠和有关文档信息。
5.3等级测评风险的规避
在等级测评过程中可以通过采取以下措施规避风险:a)签署委托测评协议。在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工作出现大的分歧。
签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将b)
来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到被测评单位的授权,否则被测评单位将按照保密协议的要求追究测评单位的法律责任。现场测评工作风险的规避。进行验证测试和工具测试之前,测评机构要求运营、使用单位对系统及数据进行备份,并对可能出现的事件制定处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行:上机验证测试由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。测评现场还原。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将在测评过程中植入被测信息系统中的相关代码/程序等进行严格清理。
TrKacaiaiKAca
5.4等级测评过程概述
GB/T28449—2012
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整部分工作任务,具体原则见附录A。等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评双方之间的沟通与治谈应贯穿整个等级测评过程。每一测评活动有一组确定的工作任务。具体如表1所示。
表1等级测评过程
测评活动
谢评准备活动
方案编制活动
现场测评活动
报告缩制活动
主要工作任务
项目启动
信息收集和分析
工具和表单准备
测评对象确定
测评指标确定
测评内容确定
工具测试方法确定
测评指导书开发
测评方案缩制
现场测评准备
现场測评和结果记录
结果确认和资料归还
单项测评结果判定
单元测评结果判定
整体测评
风险分析
等级测评结论形成
测评报告缩制
其中每项活动均有相应的工作流程、主要任务、输出文档及活动中双方的职责,每项工作任务均有相应的输人、任务描述和输出产品。6测评准备活动
6.1测评准备活动的工作流程
测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为编制测评方案打下良好的基础。
测评准备活动包括项目启动、信息收集和分析,工具和表单准备3项主要任务。这3项任务的基本工作流程见图1。
GB/T28449-2012
6.2测评准备活动的主要任务
6.2.1项目启动
项自启动
信息收集和分析
工具和表单难备
图1测评准备活动的基本工作流程在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测信息系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。输入:委托测评协议书。
任务措述:
a)根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
b)测评机构要求测评委托单位提供基本资料,例如被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告、信息化建设状况等相关资料,便于对系统有一个较为全面地了解。输出/产品:项目计划书。
6.2.2信息收集和分析
测评机构通过查阅被测信息系统已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。输人:项目计划书、系统调查表格、被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告等相关资料。任务描述:
测评机构收集等级测评需要的相关资料,包括测评委托单位的方针文件、规章制度及相关过程a
管理记录、被测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方案,安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
测评机构将系统调查表格提交给测评委托单位,督促被测信息系统相关人员准确填写调查b)
表格。
测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测信息系统的实际情况。分析的内容包括被测信息系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型,被测信息系统所处的运行环境及面临的威胁等。这些信息可以重用自查报告或上次等级测评报告中的可信结果。如果调查表格信息填写存在不准确,不完善或有相互矛盾的地方,测评机构应与填表人进行沟d)
通和确认,必要时安排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调KicaOiaiKAc
查的准确性和完整性。
输出/产品:填好的调查表格,各种与被测信息系统相关的技术资料。6.2.3工具和表单准备
GB/T28449-2012
测评项目组成员在进行现场测评之前,应熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:
测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能a
测试工具和协议分析工具等。Www.bzxZ.net
b)测评人员模拟被测信息系统搭建测评环境。c)准备和打印表单,主要包括风险告知书、文档交接单、会议记录表单、会议签到表单等。输出/产品:选用的测评工具清单,打印的各类表单。6.3测评准备活动的输出文档
测评准备活动的输出文档及其内容如表2所示。表2测评准备活动的输出文档及其内容任务
项目启动
信息收集和分析
工具和表单准备
项目计划书
输出文档
填好的调查表格,各种与被测信息系统相关的技术资料
选用的测评工具清单
打印的各类表单:风险告知书文档交接单、会议记录表单,会议签到表单测评准备活动中双方的职责
测评机构职责:
组建等级测评项目组。
指出测评委托单位应提供的基本资料。文档内容
项目概述,工作依据、技术思路、工作内容和项目组织等
被测信息系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门及角色等
风险告知、交接的文档名称、会议记录项目、会议签到项目
准备被测信息系统基本情况调查表格,并提交给测评委托单位。向测评委托单位介绍安全测评工作流程和方法。d)
向测评委托单位说明测评工作可能带来的风险和规避方法。了解测评委托单位的信息化建设以及被测信息系统的基本情况。初步分析系统的安全状况。
h)准备测评工具和文档。
测评委托单位职责:
a)向测评机构介绍本单位的信息化建设及发展情况。提供测评机构需要的相关资料。b)
GB/T28449—2012
c)为测评人员的信息收集工作提供支持和协调。准确填写调查表格。
根据被测信息系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适e)
宜的建议。
制定应急预案。
7方案编制活动
7.1方案编制活动的工作流程
方案编制活动的目标是整理测评准备活动中获取的信息系统相关资料,为现场测评活动提供最基本的文档和指导方案。
方案编制活动包括测评对象确定、测评指标确定、测评内容确定,工具测试方法确定、测评指导书开发及测评方案编制6项主要任务。这6项任务的基本工作流程见图2。测评对象确定
测评内容确定
工具测试方法确定
测评指导书开发
测评方案编制
评指标确定
图2方案编制活动的基本工作流程7.2方案编制活动的主要任务
7.2.1测评对象确定
根据系统调查结果,分析整个被测信息系统业务流程、范围、特点及各个设备的主要功能,确定出本次测评的测评对象。
输入:填好的调查表格,各种与被测信息系统相关的技术资料。任务描述:
识别并描述被测信息系统的整体结构。根据调查表格获得的被测信息系统基本情况,识别出a
被测信息系统的整体结构并加以描述。描述内容应包括被测信息系统的名称、物理环境、主要设备、网络结构和外部边界连接情况等,并画出完整的网络拓扑图。b)识别并描述被测信息系统的边界。根据填好的调查表格,识别出被测信息系统边界并加以描述。描述内容应包括被测信息系统与其他系统或网络的边界连接方式,如DDN、SDH等;描述各边界主要设备,如防火墙、路由器或服务器等。6
KicaOiaiKAc
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。