信息系统安全等级保护测评过程指南.docx

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）、《国家信息化领导小组关于加强信息安全保障工作的意 见》（中办发[2003]27 号）、《关于信息安全等级保护工作的实施意 见》（公通字[2004]66 号）和《信息安全等级保护管理办法》（公 通字[2007]43 号），制定本标准本标准是信息安全等级保护相关系列标准之一 与本标准相关的系列标准包括：-—GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008 信息安全技术信息系统安全等级保护基本要 求；——GB/TCCCC—CCCC 信息安全技术信息系统安全等级保护实施 指南；——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南1 范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作 的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单 位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息 系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安 全保护现状进行的测试评价，获取信息系统的全面保护需求。

2 规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款 .凡是 注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订 版均不适用于本标准,然而，鼓励根据本标准达成协议的各方研究是 否使用这些文件的最新版本凡是不注明日期的引用文件, 其最新版本适用于本标准GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信 息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息 系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系 统安全等级保护基本要求 GB/TCCCC-CCCC 信息安全技术信息系 统安全等级保护实施指南 GB/TDDDD-DDDD 信息安全技术信息系 统安全等级保护测评要求《信息安全等级保护管理办法》 （公通字 [2007]43 号）3 术语和定义GB/T5271.8 、 GB17859—1999 、 GB/TCCCC—CCCC 和 GB/TDDDD—DDDD 确立的以及下列的术语和定义适用于本标准3.1优势证据 superiorevidence 对单一测评项实施等级测评过程中获得的多个测评结果之间存在矛 盾,且都没有足够的证据否定与之矛盾的测评结果的,则测评结果的证 明力明显大于其他测评结果的证明力的那个（些）测评结果即为优势 证据。

4 等级测评概述41 等级测评的作用 依据《信息安全等级保护管理办法》（公通字[2007]43 号）,信息 系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进 行等级测评等级测评是测评机构依据《信息系统安全等级保护测评 要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况 是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的 重要环节.在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进 行现状分析，确定系统的安全保护现状和存在的安全问题 ,并在此基 础上确定系统的整改安全需求在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构 开展等级测评,对信息系统安全等级保护状况进行安全测试,对信息安 全管控能力进行考察和评价,从而判定信息系统是否具备 GB/T22239—2008 中相应等级安全保护能力.而且，等级测评报告是 信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要 附件材料等级测评结论为信息系统未达到相应等级的基本安全保护 能力的，运营、使用单位应当根据等级测评报告, 制定方案进行整改，尽快达到相应等级的安全保护能力.42 等级测评执行主体可以为三级及以上等级信息系统实施等级测评的等级测评执行主体 应具备如下条件：在中华人民共和国境内注册成立（港澳台地区除外）; 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台 地区除外）;从事相关检测评估工作两年以上，无违法记录； 工作人员仅限于中国公民；法人及主要业务、技术人员无犯罪记录； 使用的技术装备、设施应当符合《信息安全等级保护管理办法》（公 通字[2007]43 号）对信息安全产品的要求；具有完备的保密管理、 项目管理、质量管理、人员管理和培训教育等安全管理制度；对国家 安全、社会秩序、公共利益不构成威胁。

摘自《信息安全等级保护 管理办法》（公通字[2007]43 号）） 等级测评执行主体应履行如下义务：遵守国家有关法律法规和技术标 准,提供安全、客观、公正的检测评估服务，保证测评的质量和效果; 保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评 风险；对测评人员进行安全保密教育,与其签订安全保密责任书，规 定应当履行的安全保密义务和承担的法律责任,并负责检查落实.43 等级测评风险 等级测评实施过程中，被测系统可能面临以下风险.4.31 验证测试影响系统正常运行 在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测 试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影 响,甚至存在误操作的可能.43.2 工具测试影响系统正常运行在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测 试甚至抗渗透能力测试.测试可能会对系统的负载造成一定的影响， 漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚 至伤害.4.3.3 敏感信息泄漏泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、 安全隐患和有关文档信息.4.4 等级测评过程 本标准中的测评工作过程及任务基于受委托测评机构对信息系统的 初次等级测评给出。

运营、使用单位的自查或受委托测评机构对已经 实施过一次（或以上）等级测评的被测系统的等级测评，测评机构和 测评人员可以根据实际情况调整部分工作任务，具体原则见附录A. 等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动 现场测评活动、分析及报告编制活动而测评双方之间的沟通与洽谈 应贯穿整个等级测评过程1 测评准备活动 本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效 性的保证.测评准备工作是否充分直接关系到后续工作能否顺利开 展本活动的主要任务是掌握被测系统的详细情况,准备测试工具， 为编制测评方案做好准备.42 方案编制活动 本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文 档和指导方案本活动的主要任务是确定与被测信息系统相适应的测 评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书 测评指导书，形成测评方案.43 现场测评活动 本活动是开展等级测评工作的核心活动本活动的主要任务是按照测 评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有 测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护 情况，获取足够证据，发现系统存在的安全问题.4。

44 分析与报告编制活动 本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保 护能力的综合评价活动本活动的主要任务是根据现场测评结果和 GB/TDDDD-DDDD 的有关要求,通过单项测评结果判定、单元测评结 果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状 与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面 临的风险，从而给出等级测评结论,形成测评报告文本5 测评准备活动5.1 测评准备活动的工作流程 测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料, 为顺利编制测评方案打下良好的基础测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项 主要任务.这三项任务的基本工作流程见图1:5.2 测评准备活动的主要任务5.21 项目启动 在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位 及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个 等级测评项目的实施做基本准备.输入：委托测评协议书.任务描述：a） 根据测评双方签订的委托测评协议书和系统规模，测评机构组建 测评项目组，从人员方面做好准备，并编制项目计划书项目计划书 应包含项目概述、工作依据、技术思路、工作内容和项目组织等。

b） 测评机构要求测评委托单位提供基本资料，包括：被测系统总体描 述文件，详细描述文件，安全保护等级定级报告 ,系统验收报告，安 全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）， 测评委托单位的信息化建设状况与发展以及联络方式等 输出/产品：项目计划书2 信息收集和分析 测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整 个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定 基础输入:调查表格，被测系统总体描述文件,详细描述文件,安全保护等级 定级报告,系统验收报告，安全需求分析报告，安全总体方案，自查 或上次等级测评报告（如果有） .任务描述：a） 测评机构收集等级测评需要的各种资料，包括测评委托单位的各 种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、 详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总 体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步 骤、网络图表、配置管理文档等.b） 测评机构将调查表格提交给测评委托单位，督促被测系统相关人 员准确填写调查表格c） 测评机构收回填写完成的调查表格，并分析调查结果,了解和熟悉被 测系统的实际情况。

分析的内容包括被测系统的基本信息、物理位置、 行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及 部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及 重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的 运行环境及面临的威胁等.这些信息可以重用自查或上次等级测评报 告中的可信结果.d） 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多， 测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和 了解输出/产品：填好的调查表格.52.3 工具和表单准备 测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种 组件、调试测评工具、准备各种表单等输入：各种与被测系统相关的技术资料任务描述：a） 测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工 具、渗透性测试工具、性能测试工具和协议分析工具等b） 测评人员模拟被测系统搭建测评环境c） 准备和打印表单，主要包括:现场测评授权书、文档交接单、会议记 录表单、会议签到表单等.输出/产品：选用的测评工具清单，打印的各类表单 3 测评准备活动的输出文档测评准备活动的输出文档及其内容如表1所示:5.4 测评准备活动中双方的职责测评机构职责:a） 组建等级测评项目组。

b） 指出测评委托单位应提供的基本资料c） 准备被测系统基本情况调查表格，并提交给测评委托单位d） 向测评委托单位介绍安全测评工作流程和方法e） 向测评委托单位说明测评工作可能带来的风险和规避方法f） 了解测评委托单位的信息化建设状况与发展，以及被测系统的基本 情况g） 初步分析系统的安全情况h） 准备测评工具和文档.测评委托单位职责：a）向测评机构介绍本单位的信息化建设状况与发展情况b） 准备测评机构需要的资料c） 为测评人员的信息收集提供支持和协调d） 准确填写调查表格e） 根据被测系统的具体情况，如业务运行高峰期、网络布置情况等, 为测评。