等级测评工程师培训宣贯

1、上海计算机软件技术开发中心上海市计算机软件评测重点实验室 地址：国家863软件专业孵化器（上海）基地 联航路1588号， 业务受理：钦州路100号1号楼702室 热线电话：02164511296，网站：WWW.SSTL.ORG.CN信息安全等级测评信息安全等级测评培训宣贯培训宣贯上海计算机软件技术开发中心上海计算机软件技术开发中心上海市软件评测重点实验室上海市软件评测重点实验室2012/03/312012/03/31上海计算机软件技术开发中心上海市计算机软件评测重点实验室 主要内容一一等级测评等级测评师相关师相关二什么是信息安全等级保护三三安全安全保护等级的保护等级的划分划分四四等级保护工作的

2、职责等级保护工作的职责分工分工五五等级保护工作的主要等级保护工作的主要流程流程六六等级保护标准等级保护标准体系体系上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师n培训时间与方式培训时间与方式4月初网上培训(远程）4月18日北京培训与考核上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评师等级测评师 要求开展等级测评的人员：n培训和考试n取得信息安全等级测评师证书（等级测评师分为初级、中级和高级）n等级测评人员需持等级测评师证上岗关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）上海计算机软件技术开发中心

3、上海市计算机软件评测重点实验室 一、等级测评等级测评师师- -分级分级n初级等级测评师（技术和管理）n中级等级测评师n高级等级测评师上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师初级等级测评师初级等级测评师 n了解信息安全等级保护的相关政策、标准；n熟悉信息安全基础知识；n熟悉信息安全产品分类，了解其功能、特点和操作方法；n掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；n掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；n能够按照报告编制要求整理测评数据。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级

4、测评等级测评师师n中级等级测评师中级等级测评师 n熟悉信息安全等级保护相关政策、法规；n正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；n掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；n具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师n中级等级测评师中级等级测评师 n能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；n能够根据信息系统的特点，编制测评方案，确定测评对象、测

5、评指标和测评方法；n具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；n了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师n高级等级测评师高级等级测评师 n熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；n对信息安全等级保护标准体系及主要标准有较为深入的理解；n具有信息安全理论研究的基础、实践经验和研究创新能力；n具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力；n熟悉等级保

6、护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师要求要求备注备注初级初级等级测评师等级测评师 具备信息安全基础知识和信息安全相关工作经具备信息安全基础知识和信息安全相关工作经验验,熟悉熟悉TCP/IP 网络协议，了解标识与鉴别、网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作系统、路由器、交换机、防火墙等设备的操作与配置。操作与配置。工程师中级中级等级测评师等级测评师 具备信息安全理论基础，对系统

7、安全、网络安具备信息安全理论基础，对系统安全、网络安全、应用安全等有深入了解全、应用安全等有深入了解,作为项目负责人组作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品的特性，具有较丰富的测评信息安全相关产品的特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。实践经验、良好的沟通协作和文字表达能力。项目组长高级高级等级测评师等级测评师 具备信息安全理论基础，具有信息安全理论、具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过网络信息安全技术的研究和实践经验，从事过网络信息安全方面的测评、规划、设

8、计、实施、运信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。悉信息安全技术发展动向。技术负责人上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师考试考试分数分数时间时间初级初级等级测评师等级测评师 笔试满分100分,合格分数线为60分；笔试时间为120分钟中级中级等级测评师等级测评师 笔试+面试满分100分,合格分数线为60分；笔试和面试成绩各占50分，笔试时间为120分钟，面试时间为15分钟。 高级高级等级测评师等级测评师 笔试+面试满分100分，笔试占40分，面试

9、占60分；笔试时间为100分钟，面试时间为20分钟。 上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师考试考试分数分数时间时间初级初级等级测评师等级测评师 笔试满分100分,合格分数线为60分；笔试时间为120分钟中级中级等级测评师等级测评师 笔试+面试满分100分,合格分数线为60分；笔试和面试成绩各占50分，笔试时间为120分钟，面试时间为15分钟。 高级高级等级测评师等级测评师 笔试+面试满分100分，笔试占40分，面试占60分；笔试时间为100分钟，面试时间为20分钟。 需要介绍本人参加过的需要介绍本人参加过的系统测评项目的情况及承担的系统测评项目的情

10、况及承担的主要工作（主要工作（5分钟），分钟），评审测评指导书和等级测评报告评审测评指导书和等级测评报告面试人员需要提交面试人员需要提交本人工作总结本人工作总结简要介绍主要项目经历简要介绍主要项目经历（5分钟）分钟）上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师- -培训课程培训课程初级初级中级中级高级高级信息安全等级保护基础信息安全等级保护基础信息安全等级保护基础信息安全等级保护基础信息安全等级保护基础信息安全等级保护基础等级保护相关标准应用等级保护相关标准应用等级保护相关标准应用等级保护相关标准应用等级保护相关标准应用等级保护相关标准应用安全管理和物理测

11、评安全管理和物理测评信息系统安全等级保护基信息系统安全等级保护基本要求本要求国外信息系统安全保护政策和国外信息系统安全保护政策和标准标准主机安全测评主机安全测评信息系统安全等级保护测信息系统安全等级保护测评实施评实施测评机构的质量体系建设测评机构的质量体系建设工具测试方法工具测试方法信息系统安全等级保护测信息系统安全等级保护测评方法评方法信息系统测评基本概念与方法信息系统测评基本概念与方法网络安全测评网络安全测评项目管理项目管理我国信息安全标准体系我国信息安全标准体系应用和数据库安全测评应用和数据库安全测评信息安全技术发展概论信息安全技术发展概论上海计算机软件技术开发中心上海市计算机软件评测重

12、点实验室 一、等级测评等级测评师师- -初级初级培训课程培训课程 课程设置目的课程设置目的 信息安全等级保护政策信息安全等级保护政策了解信息安全等级保护的相关政策、标准。了解信息安全等级保护的相关政策、标准。等级保护相关标准应用等级保护相关标准应用了解信息安全等级保护的相关政策、标准。了解信息安全等级保护的相关政策、标准。网络安全测评网络安全测评熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；完整地获取各项测评证据； 能够按照报告编制要求整理测评数据，开展等级测评工作。能够按照报告编制要求整理测评数

13、据，开展等级测评工作。主机安全测评主机安全测评熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；完整地获取各项测评证据； 能够按照报告编制要求整理测评数据，开展等级测评工作。能够按照报告编制要求整理测评数据，开展等级测评工作。应用和数据安全测评应用和数据安全测评熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；书客观、准确、完整地获取各项测评证据； 能够按照报告编制要求整理测评数据，开展等级测评工作

14、。能够按照报告编制要求整理测评数据，开展等级测评工作。安全管理和物理测评安全管理和物理测评熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；客观、准确、完整地获取各项测评证据； 能够按照报告编制要求整理测评数据，开展等级测评工作。能够按照报告编制要求整理测评数据，开展等级测评工作。工具测试方法工具测试方法掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据。据。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测

15、评等级测评师师- -中中级级培训课程培训课程 课程设置目的课程设置目的 全等级保护政策全等级保护政策熟悉信息安全等级保护相关政策、法规。熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用等级保护相关标准应用 正确理解信息安全等级保护标准体系和主要标准内容。正确理解信息安全等级保护标准体系和主要标准内容。信息系统安全等级保护信息系统安全等级保护基本要求基本要求熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各级安全熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各级安全要求内容。要求内容。信息系统安全等级保护信息系统安全等级保护测评方法测评方法熟悉信息安全等级测评方法，能够独立开发测评指导书，

16、并熟熟悉信息安全等级测评方法，能够独立开发测评指导书，并熟悉测评指导书的开发、版本控制和评审流程；悉测评指导书的开发、版本控制和评审流程； 能够根据信息系统的特点，编制测评方案，确定测评对象、测能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；评指标和测评方法； 能够依据测评报告模板要求编制测评报告，能够整体把握测评能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。报告结论的客观性和准确性。信息系统安全等级保护信息系统安全等级保护测评实施测评实施熟悉等级测评项目的工作流程和质量管理的方法。熟悉等级测评项目的工作流程和质量管理的方法。项目管理项

17、目管理熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。度管理、风险管理方法。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 一、等级测评等级测评师师- -高级高级培训课程培训课程 课程设置目的课程设置目的 等级保护政策等级保护政策熟悉信息安全等级保护相关政策、法规。熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用等级保护相关标准应用 正确理解信息安全等级保护标准体系和主要标准内容。正确理解信息安全等级保护标准体系和主要标准内容。美国信息系统安全保护美国信息系统安全保护政策和标准政策和标准熟悉和跟

18、踪国外信息安全的相关政策、法规及标准的发展。熟悉和跟踪国外信息安全的相关政策、法规及标准的发展。我国信息安全标准体系我国信息安全标准体系 熟悉信息安全等级保护标准体系及主要标准。熟悉信息安全等级保护标准体系及主要标准。信息安全技术发展趋势信息安全技术发展趋势 掌握网络与信息安全的理论基础和发展趋势。掌握网络与信息安全的理论基础和发展趋势。信息系统测评原理与方信息系统测评原理与方法法掌握系统测评的原理和方法以及测评过程。掌握系统测评的原理和方法以及测评过程。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 二、什么是信息安全等级保护什么是信息安全等级保护 信息安全等级保护信息安全等级保护

19、是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 二、什么是信息安全等级保护什么是信息安全等级保护1 1关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见公通字公通字200466200466号号 ( (公安部、国家保密局、国家密码管理局、国信办联合印发公安部、国家保密局、国家密码管理局、国信办联合印发) ) 指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分

20、步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 二、什么是信息安全等级保护什么是信息安全等级保护1 1信息安全等级保护管理办法信息安全等级保护管理办法公通公通字字200743200743号号 ( (公安部、国家保密局、国家密码管理局、国信办联合印发公安部、国家保密局、国家密码管理局、国信办联合印发) ) 规定“国家通过制定统一的信息安全等级保护管理规范和技术标准、组织公民、法人和其他组织对信息信息系统分等级实施安全保护系统分等级实施安全保护，对等级保护工作的实施进行了监督、管理” 规定“信

21、息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行了监督管理。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 二、什么是信息安全等级保护什么是信息安全等级保护 管理办法规定需要等级保护的范围：需要等级保护的范围：1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统

22、计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。3、市（地）级以上党政机关的重要网站和办公信息系统重要网站和办公信息系统。4、涉及国家秘密的信息系统。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 三、安全保护等级的划分安全保护等级的划分等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益 特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级

23、极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害 专门监督检查专门监督检查上海计算机软件技术开发中心上海市计算机软件评测重点实验室 三、安全保护等级的划分安全保护等级的划分n一般损害一般损害：工作职能受到局部影响，业务能力有所降业务能力有所降低低但不影响主要功能的执行，出现较轻较轻的法律问题，较低较低的资产损失，有限有限的社会不良影响，对其他组织和个人造成较低损害。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 三、安全保护等级的划分安全保护等级的划分n严重严重损害损害：工作职能受到严重严重影响，业务能力显著下业务能力显著下降且严重影响主要功能执行降且严重影响主要功能

24、执行，出现较严重较严重的法律问题，较高的较高的资产损失，较大范围较大范围的社会不良影响的社会不良影响，对其他组织和个人造成较严重损害。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 三、安全保护等级的划分安全保护等级的划分n特别特别严重损害严重损害：工作职能受到特别严重影响或丧失行使能特别严重影响或丧失行使能力力，业务能力严重下降且或功能无法执行，出现极其严重极其严重的法律问题，极高的极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 四、等级保护工作的职责分工等级保护工作的职责分工负责信息安全等级保护工作

25、的监督、检查、指导；负责等级保护工作中有关保密工作的监督、检查、指导；负责等级保护工作中有关密码工作的监督、检查、指导；，由有关职能部门依照国家法律法规的规定进行管理；及地方信息化领导小组办事机构负责等级保护工作的部门间协调。上海计算机软件技术开发中心上海市计算机软件评测重点实验室 五、等级保护工作的主要流程等级保护工作的主要流程一是定级。包括评审与审批。一是定级。包括评审与审批。 二是备案（二级以上信息系统）。二是备案（二级以上信息系统）。三是系统建设、整改（按条件选择产品）。三是系统建设、整改（按条件选择产品）。四是开展等级测评（按条件选择测评机构）。五是信息安全监管部门定期开展监督检查。

26、五是信息安全监管部门定期开展监督检查。 上海计算机软件技术开发中心上海市计算机软件评测重点实验室 六、等级保护的测评标准等级保护的测评标准nGB17859-1999 GB17859-1999 计算机信息系统计算机信息系统 安全等级保护划分安全等级保护划分准则准则nGBT22239-2008 GBT22239-2008 信息安全技术信息安全技术 信息系统安全等级信息系统安全等级保护基本要求（称基本要求）保护基本要求（称基本要求）n信息安全技术 信息系统安全等级保护实施指南n信息安全技术 信息系统安全等级保护测评要求n信息安全技术 信息系统安全等级保护测评过程指南上海计算机软件技术开发中心上海市计

27、算机软件评测重点实验室 六、等级保护的测评标准等级保护的测评标准GBT22239-2008GBT22239-2008安全保护能力安全保护能力基本安全要求基本安全要求每个等级的信息系统每个等级的信息系统基本技术措施基本技术措施基本管理措施基本管理措施具备具备包含包含包含包含满足满足满足满足实现实现上海计算机软件技术开发中心上海市计算机软件评测重点实验室 六、等级保护的测评标准等级保护的测评标准GBT22239-2008 GBT22239-2008 核心思路核心思路某级系统某级系统技术要求技术要求管理要求管理要求基本要求基本要求建立安全技术体系建立安全技术体系建立安全管理体系建立安全管理体系具有某级安全保护能力的系统具有某级安全保护能力的系统上海计算机软件技术开发中心上海市计算机软件评测重点实验室 六、等级保护的测评标准等级保护的测评标准GBT22239-2008