等级测评工程师培训宣贯

地址：国家863软件专业孵化器（上海）基地联航路1588号，业务受理：钦州路100号1号楼702室热线电话：021－64511296，网站：WWW.SSTL.ORG.CN

信息安全等级测评

培训宣贯上海计算机软件技术开发中心

上海市软件评测重点实验室2012/03/31主要内容等级测评师相关什么是信息安全等级保护安全保护等级的划分等级保护工作的职责分工等级保护工作的主要流程等级保护标准体系一、等级测评师培训时间与方式4月初网上培训(远程）4月18日北京培训与考核一、等级测评师要求开展等级测评的人员：培训和考试取得《信息安全等级测评师证书》

（等级测评师分为初级、中级和高级）等级测评人员需持等级测评师证上岗《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）一、等级测评师-分级初级等级测评师（技术和管理）中级等级测评师高级等级测评师一、等级测评师初级等级测评师了解信息安全等级保护的相关政策、标准；熟悉信息安全基础知识；熟悉信息安全产品分类，了解其功能、特点和操作方法；掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；能够按照报告编制要求整理测评数据。一、等级测评师中级等级测评师熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；一、等级测评师中级等级测评师能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。一、等级测评师高级等级测评师熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；对信息安全等级保护标准体系及主要标准有较为深入的理解；具有信息安全理论研究的基础、实践经验和研究创新能力；具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力；熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。一、等级测评师要求

备注初级

等级测评师具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。工程师中级

等级测评师具备信息安全理论基础，对系统安全、网络安全、应用安全等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品的特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。项目组长高级

等级测评师具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。技术负责人一、等级测评师考试

分数时间初级

等级测评师笔试满分100分,合格分数线为60分；笔试时间为120分钟中级

等级测评师笔试+面试满分100分,合格分数线为60分；笔试和面试成绩各占50分，笔试时间为120分钟，面试时间为15分钟。高级

等级测评师笔试+面试满分100分，笔试占40分，面试占60分；笔试时间为100分钟，面试时间为20分钟。一、等级测评师考试

分数时间初级

等级测评师笔试满分100分,合格分数线为60分；笔试时间为120分钟中级

等级测评师笔试+面试满分100分,合格分数线为60分；笔试和面试成绩各占50分，笔试时间为120分钟，面试时间为15分钟。高级

等级测评师笔试+面试满分100分，笔试占40分，面试占60分；笔试时间为100分钟，面试时间为20分钟。需要介绍本人参加过的系统测评项目的情况及承担的主要工作（5分钟），评审测评指导书和等级测评报告面试人员需要提交本人工作总结简要介绍主要项目经历（5分钟）一、等级测评师-培训课程初级中级高级信息安全等级保护基础信息安全等级保护基础信息安全等级保护基础等级保护相关标准应用等级保护相关标准应用等级保护相关标准应用安全管理和物理测评信息系统安全等级保护基本要求国外信息系统安全保护政策和标准主机安全测评信息系统安全等级保护测评实施测评机构的质量体系建设工具测试方法信息系统安全等级保护测评方法信息系统测评基本概念与方法网络安全测评项目管理我国信息安全标准体系应用和数据库安全测评信息安全技术发展概论一、等级测评师-初级培训课程课程设置目的信息安全等级保护政策了解信息安全等级保护的相关政策、标准。等级保护相关标准应用了解信息安全等级保护的相关政策、标准。网络安全测评熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

能够按照报告编制要求整理测评数据，开展等级测评工作。主机安全测评熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

能够按照报告编制要求整理测评数据，开展等级测评工作。应用和数据安全测评熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

能够按照报告编制要求整理测评数据，开展等级测评工作。安全管理和物理测评熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

能够按照报告编制要求整理测评数据，开展等级测评工作。工具测试方法掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据。一、等级测评师-中级培训课程课程设置目的全等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护标准体系和主要标准内容。信息系统安全等级保护基本要求熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各级安全要求内容。信息系统安全等级保护测评方法熟悉信息安全等级测评方法，能够独立开发测评指导书，并熟悉测评指导书的开发、版本控制和评审流程；

能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；

能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。信息系统安全等级保护测评实施熟悉等级测评项目的工作流程和质量管理的方法。项目管理熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。一、等级测评师-高级培训课程课程设置目的等级保护政策熟悉信息安全等级保护相关政策、法规。等级保护相关标准应用正确理解信息安全等级保护标准体系和主要标准内容。美国信息系统安全保护政策和标准熟悉和跟踪国外信息安全的相关政策、法规及标准的发展。我国信息安全标准体系熟悉信息安全等级保护标准体系及主要标准。信息安全技术发展趋势掌握网络与信息安全的理论基础和发展趋势。信息系统测评原理与方法掌握系统测评的原理和方法以及测评过程。二、什么是信息安全等级保护信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。二、什么是信息安全等级保护1《关于信息安全等级保护工作的实施意见》公通字[2004]66号

(公安部、国家保密局、国家密码管理局、国信办联合印发)

指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。二、什么是信息安全等级保护1《信息安全等级保护管理办法》

公通字[2007]43号

(公安部、国家保密局、国家密码管理局、国信办联合印发)

规定“国家通过制定统一的信息安全等级保护管理规范和技术标准、组织公民、法人和其他组织对信息系统分等级实施安全保护，对等级保护工作的实施进行了监督、管理”

规定“信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行了监督管理。二、什么是信息安全等级保护

《管理办法》规定需要等级保护的范围：1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。3、市（地）级以上党政机关的重要网站和办公信息系统。4、涉及国家秘密的信息系统。三、安全保护等级的划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查三、安全保护等级的划分一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。三、安全保护等级的划分严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。三、安全保护等级的划分特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。四、等级保护工作的职责分工公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。五、等级保护工作的主要流程一是定级。包括评审与审批。

二是备案（二级以上信息系统）。三是系统建设、整改（按条件选择产品）。四是开展等级测评（按条件选择测评机构）。五是信息安全监管部门定期开展监督检查。

六、等级保护的测评标准GB17859-1999计算机信息系统安全等级保护划分准则GBT22239-2008信息安全技术信息系统安全等级保护基本要求（称基本要求）信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南六、等级保护的测评标准

GBT22239-2008安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现六、等级保护的测评标准

GBT22239-2008核心思路某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统六、等级保护的测评标准

GBT22239-2008各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应六、等级保护的测评标准

GBT22239-2008各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统通信/边界（基本）通信/边界/内部（关键设备）通信/边界/