en
首页 服务与支持 咨询服务 等级保护咨询及测评服务
等级保护咨询及测评服务

等保测评介绍


信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判过程。


政策依据


《中华人民共和国计算机信息系统安全保护条例》([1994]国务院令第147号)

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护备案实施细则》(公信安[2007]1360号)

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)

《信息安全等级保护管理办法》(公通字[2007]43号)

《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)


技术标准


GB/T 28448-2012《信息系统安全等级保护测评要求》

GB/T 28449-2012《信息系统安全等级保护测评过程指南》

GB/T 25058-2010《信息系统安全等级保护实施指南》

GB/T 25070-2010《信息系统等级保护安全设计技术要求》

GB/T 22240-2008《信息系统安全等级保护定级指南》

GB/T 22239-2008《信息系统安全等级保护基本要求》

GB 17859-1999《计算机信息系统安全保护等级划分准则》


测评过程


等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

 测评准备活动介绍

本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。

方案编制活动介绍

本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。

现场测评活动介绍

本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。

分析与报告编制活动介绍

本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和GB/T 22239-2008的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。



 


测评方法


测评方法一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

A)访谈

测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。

B)文档审查

1)检查GB/T 22239-2008中规定的必须具有的制度、策略、操作规程等文档是否齐备。

2)检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。

3)对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。

C)配置检查

1)根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。

2)如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试。

3)针对网络连接,应对连接规则进行验证。

D)工具测试

任务描述:

1)根据测评方案,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

2)备份测试结果。

E)实地察看

任务描述:

根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。