信息安全等保测评方案解读

1、信息安全等保测评方案解读技术创新，变革未来一、等级测评概述等级测评是指是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活劢。等级测评工作不同于一般的安全测和风险评估。首先它是依据系统安全保护等级和该级别系统的基本保护要求。其次要求测评人员具有把握国家政策，理解和掌握相关的技术。最后等级测评的结果，是国家信息安全监管部门依法行政管理的技术依据。是信息系统运营使用进行等级保护整改的基本依据。测评目的：一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是

2、否符合等级保护基本要求，是否具备了相应等级的安全保护能力。二、等级测评特点 执行的强制性：管理办法强制周期性执行 执行主体：符合条件的测评机构 执行对象：已经定级的信息系统 服务对象：主管部门，运维、使用单位，信息安全监管部门 测评依据：依据基本要求 测评内容：单元测评（技术和管理）和整体测评 测评付出：不同级别的测评强度不同 测评方式：访谈、检查和测试 判定准则：满足业务需求9三、等级测评时机差距测评 符合性测评监督性测评建设整改前：等级测评，现状分析；建设整改后：等级测评，检验整改效果。测评频率：第三级以上定期；第二级参照。四、测评方法 访谈 检查 测试26 访谈 是指测评人员通过引导信息

3、系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清取得证据的过程。27 访谈的对象是人员。典型的访谈人员包括：信息安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。 工具：管理核查表（ checklist ） 适用情况： 对技术要求，使用访谈方法进行测评的目的是为了了解信息系统的全局性(包括局部，但不是细节)、方向/策略性和过程性信息，一般不涉及到具体的实现细节和具体技术措施，在遇到优势证据时，最弱。 对管理要求，访谈的内容应该较为详细和明确29访谈作用 作用一：了解基本情况，作为下一步测评工作的基础 作用二：访谈结果作为判断不其他几种测评方式所得到证据是否一

4、致； 作用三：作为相关管理方面实现要求不否的直接证据。30 检查 是指测评人员通过对测评对象（如制度文档、各类设备、安全配置等）进行观察、查验、分析以帮助测评人员理解、澄清取得证据的过程。34 检查对象包括： 文档、各类设备、安全配置、机房、存储介质等。 主要工具： 核查表 适用情况： 对技术要求，检查的内容应该是具体的、较为详细的机制配置和运行实现 。 对管理要求，检查方法主要用亍规范性要求（检查文档）。36 测试 是指测评人员使用预定的方法/工具使测评对象（各类设备及安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。37 功能/性能测试、渗透测试等 测试对象包括机制和设备等

5、测试一般需要借助特定工具 扫描检测工具 攻击工具 渗透工具 适用情况： 对技术要求，测试的目的是验证信息系统当前的、具体的安全机制与运行的有效性与安全强度。 对管理要求，一般不采用测试技术。39测评证据来源 开发、集成资料 之前的可信测评结果 当前的现场测评结果42测评内容 等级测评包括： 单元测评 整体测评 单元测试 以安全控制为基本工作单位组织描述 测评指标、测评实施和结果判定。43 基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分

6、分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进入的人员测评内容来源第三级基本要求物理安全网络安全主机安全应用安全第一级基本要求第二级基本要求第四级基本要求第五级基本要求数据安全及备份恢复技术要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理测评内容来源案编制活动方报告编制活动测评实施流程测 评准备活动测评对象确定等级测评项目启动信息收集与分析工具和表单准备测评

7、内容确定工具测试方法确定测评指导书开发测评指标确定测评方案编制通与洽谈沟场测评活动现测评实施准备现场测评和结果记录结果确认和资料归还单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制 测评准备阶段 方案编制阶段 现场测评阶段 报告编制阶段测评实施工作流程-阶段划分测评准备活动测评实施主要内容测评准备活动输入委托测评协议书被测系统描述文件、定级报告、验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告（如果有）、信息系统基本情况调查表、项目计划书各种与被测系统相关的技术资料主要任务项目启动信息收集和分析工具和表单准备输出项目计划书填好的信息系统基本情况调查表

8、格选用的测评工具清单打印的各类表单：现场测评授权书、文档交接单、会议记录表单、会议签到表单69测评准备活动-双方职责测评机构职责： a) 组建等级测评项目组。b) 指出测评委托单位应提供的基本资料。c) 准备被测系统基本情况调查表格，并提交给测评委托单位。d) 向测评委托单位介绍安全测评工作流程和方法。e) 向测评委托单位说明测评工作可能带来的风险和规避方法。f) 了解测评委托单位的信息化建设状况与发展，以及被测系统的基本情况。g) 初步分析系统的安全情况。h) 准备测评工具和文档。69测评准备活动-双方职责测评委托机构职责： a) 向测评机构介绍本单位的信息化建设状况与发展情况。b) 准备测

9、评机构需要的资料。c) 为测评人员的信息收集提供支持和协调。d) 准确填写调查表格。e) 根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议。f) 制定应急预案。方案编制活动测评实施主要内容方案编制活动输入填好的调查表格主要任务测评对象确定输出确定出的测评对象列表输入填好的调查表格、基本要求主要任务测评指标确定输出确定出的测评指标填好的调查表格，确定出的测评对象、测评指标及测试工具接入点填好的调查表格，测评要求单元测评内容委托测评协议书，填好的调研表格，确定出的测评对象、测评指标及测试工具接入点，单元测评内容测评内容确定工具测试方法确定测评指导书开发测评方案

10、编制单元测评内容确定出的测试工具接入点及测试路径测评指导书测评方案文本测评方案的构成 项目概述 测评对象 测评指标 测试工具接入点 单元测评实施 系统测评实施 配套的测评指导书 等等6269方案编制活动-双方职责测评机构职责： a) 详细分析被测系统的整体结构、边界、网络区域、重要节点等。b) 初步判断被测系统的安全薄弱点。c) 分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。d) 编制测评方案文本，并对其内部评审，并提交被测机构签字确认。测评委托单位职责： a) 对测评方案进行认可，并签字确认。现场测评活动测评实施主要内容现场测评活动输入现场测评授权书，测评方案，测评指导书测

11、评指导书，测评结果记录表格测评结果记录，工具测试完成后的电子输出记录等主要任务现场测评准备现场测评和结果记录结果确认和资料归还输出会议记录，更新后的测评计划和测评程序，确认的现场测评授权书测评结果记录，工具测试完成后的电子输出记录等现场测评中发现的主要问题汇总，证据和证据源记录，测评委托单位对测评结果记录的书面认可69现场测评活动-双方职责测评机构职责： a) 利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况，并获取相关证据。测评委托单位职责： a) 测评前备份系统和数据，并确认被测设备状态完好。b) 协调被测系统内部相关人员的关系，配合测评工作的开展。c) 签

12、署现场测评授权书。d) 相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作。e) 相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响。f) 相关人员协助测评人员完成业务相关内容的问询、验证和测试。g) 相关人员对测评结果进行确认。h) 相关人员确认测试后被测设备状态完好。报告编制活动测评实施主要内容报告编制活动输入测评结果记录，测评指导书单项测评结果单元测评结果整体测评结果单元测评结果整体测评结果测评方案/测评结果记录、单项测评结果、单元测评结果、整体测评结果、风险分析结果主要任务单项测评结果判定单元测评结果判定整体测评风险分析等级测评结论形成测评

13、报告编制输出单项测评结果单元测评结果整体测评结果风险分析结果等级测评结论测评报告文本等级测评结论 符合 等级测评结果中不存在部分符合项或不符合项。 基本符合 等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险。 不符合 等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险。测评报告的构成报告摘要测评项目概述被测信息系统情况等级测评范围与方法单元测评整体测评测评结果汇总风险分析和评价等级测评结论安全建设整改建议测评风险管理 风险规避 可能的3大风险 风险控制措施106风险规避-可能风险1验证测试对运行系统可能会造成影响：在现场测评时，需要对设备和系统进

14、行一定的验证测试工作，可能对系统的运行造成一定的影响，甚至存在误操作的可能。107载造成一定的影响风险规避-可能风险2 工具测试对运行系统可能会造成影响在现场测评时，会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负定的影响，漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害 。108风险规避-可能风险3 敏感信息泄漏 泄漏被测评信息系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息 。109风险的规避1签署委托测评协议2签署保密协议3签署现场测评授权书4现场测评工作风险的规避5规范化实施过程6良好沟通与交流117风险规避

15、-签署委托测评协议（测评服务合同） 在测评工作正式开始之前，测评机构和测评委托单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后的工作出现大的分歧。110风险规避-签署保密协议 测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。 测评工作的成果属测评委托单位所有，测评机构对其的引用与公开应得到测评委托单位的授权，否则测评委托单位将按照保密协议的要求追究测评机构的法律责任。111风险规避-签署现场测评授权书 在现场测评工作正式开始之前，

16、测评机构和测评委托单位需要以测评授权的方式明确测评工作中双方的责任，揭示可能的风险等，避免可能出现的纠纷和分歧。风险规避-现场测评工作风险的规避1 进行验证测试和工具测试时，测评机构需要与测评委托单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要测评委托单位对整个测试过程进行监督； 需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案；113风险规避-现场测评工作风险的规避2 上机验证测试原则上由测评运营、使用单位提供相应的技术人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证; 避免由于测评人员对某些专用设备不熟悉造成误操作； 测评机构使用的测试工具在使用前应事先告知测评委托单位，并详细介绍这些工具的用途以及可能对信息系