测评工作流程

更新时间:2019-04-28 16:11    |    浏览量:535
等级测评的工作流程:

方案编制阶段

    ★ 测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
    ★ 测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
    ★ 测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。
    ★ 测评内容确定:确定现场测评的具体实施内容,即单元测评内容。
    ★ 测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。
现场测评阶段
    现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。
    ★ 物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物理安全层面测评实施过程涉及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
    ★ 网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及7个测评单元,包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。
    ★ 主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。在内容上,主机系统安全层面测评实施过程涉及7个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(针对三级系统)。
    ★ 应用安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统)。
    ★ 数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及3个测评单元,包括:数据完整性、数据保密性、备份和恢复。
    ★ 安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括:管理制度、制定和发布、评审和修订。
    ★ 安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
    ★ 人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上,人员安全管理方面测评实施过程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
    ★ 系统建设管理:通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及11个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统)、系统测评(针对三级系统)。
    ★ 系统运维管理:通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上,系统运维管理方面测评实施过程涉及13个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(针对三级系统)。
分析与报告编制阶段
    ★ 单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
    ★ 单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
    ★ 整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
    ★ 风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
    ★ 等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。 测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。