信息安全等級合規(guī)測評

合規(guī)，簡而言之就是要符合法律、法規(guī)、政策及相關(guān)規(guī)則、標(biāo)準(zhǔn)的約定。在信息安全領(lǐng)域內(nèi)，等級保護(hù)、分級保護(hù)、塞班斯法案、計(jì)算機(jī)安全產(chǎn)品銷售許可、密碼管理等，是典型的合規(guī)性要求。

公司主營業(yè)務(wù)：網(wǎng)站設(shè)計(jì)制作、網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出拜泉免費(fèi)做網(wǎng)站回饋大家。

信息安全合規(guī)測評是國家強(qiáng)制要求的，信息系統(tǒng)運(yùn)營、使用單位或者其主管部門，必須在系統(tǒng)建設(shè)、改造完成后，選擇具備資質(zhì)測評機(jī)構(gòu)，依據(jù)信息安全合規(guī)性要求，對信息系統(tǒng)是否合規(guī)進(jìn)行檢測和評估的活動(dòng)。信息安全合規(guī)測評具有強(qiáng)制性和周期性（定期檢測），是國家信息安全部門督促合規(guī)性要求落地實(shí)施，保障信息安全的重要手段。

一、信息安全合規(guī)性要求

1、等級保護(hù)

等級保護(hù)將信息系統(tǒng)按照價(jià)值系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別劃分五個(gè)等級進(jìn)行保護(hù)。其分級、分區(qū)域、分類和分階段是做好國家信息安全保護(hù)的前提。等級保護(hù)依據(jù)公安部、×××、×××和國信辦先后聯(lián)合下發(fā)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》、《信息安全等級保護(hù)信息安全等級保護(hù)管理辦法》開展。

2、分級保護(hù)

分級保護(hù)針對的是涉密信息系統(tǒng)，根據(jù)涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計(jì)民生造成的危害性，以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平劃分為秘密級、機(jī)密級和絕密級三個(gè)等級?！痢痢翆ｉT對涉密信息系統(tǒng)如何進(jìn)行分級保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn)，目前，正在執(zhí)行的兩個(gè)分級保護(hù)的國家保密標(biāo)準(zhǔn)是BMB17《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》。

國家保密科技測評中心是我國唯一的涉密信息系統(tǒng)安全保密測評機(jī)構(gòu)，山東省軟件評測中心是國家保密科技測評中心在山東省設(shè)立的分中心。

3、塞班斯法案

針對安然、世通等財(cái)務(wù)欺詐事件，美國國會出臺了《2002年公眾公司會計(jì)改革和投資者保護(hù)法案》。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯-奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計(jì)職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新規(guī)定。

塞班斯法案成為在美上市企業(yè)躲不過去的坎。它規(guī)定，上市公司的財(cái)務(wù)報(bào)告必須包括一份內(nèi)控報(bào)告，并明確規(guī)定公司管理層對建立和維護(hù)財(cái)務(wù)報(bào)告的內(nèi)部控制體系及相應(yīng)控制流程負(fù)有完全責(zé)任；此外，財(cái)務(wù)報(bào)告中必須附有其內(nèi)控體系和相應(yīng)流程有效性的年度評估。它的出臺意味著在美國上市的公司不僅要保證其財(cái)務(wù)報(bào)表數(shù)據(jù)的準(zhǔn)確，還要保證內(nèi)控系統(tǒng)能通過相關(guān)審計(jì)。

4、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可

計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證是為了加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的管理，保證安全專用產(chǎn)品的安全功能，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局頒發(fā)的許可證書。

辦理依據(jù)：

（1）、《×××計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年2月18日，×××令147號發(fā)布）。

（2）、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》（1997年12月1日，公安部令第32號）。

(3)、《計(jì)算機(jī)病毒防治管理辦法》（2000年4月26日，公安部令第51號）。

審批辦理流程：

(1)、產(chǎn)品檢測。申請單位須將樣品送指定檢測機(jī)構(gòu)進(jìn)行檢測。

(2)、申請×××。檢測合格后，申請單位按規(guī)定提交證書申請的相關(guān)材料。

(3)、審批發(fā)證。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。

5、信息系統(tǒng)密碼安全管理

為推動(dòng)商用密碼發(fā)展，確保國家重要信息系統(tǒng)密碼安全，具備檢測資質(zhì)的機(jī)構(gòu)依據(jù)《信息安全等級保護(hù)商用密碼管理辦法》、《信息安全等級保護(hù)商用密碼技術(shù)實(shí)施要求》《信息系統(tǒng)安全等級保護(hù)基本要求》，對信息安全等級為三級以上（含三級）信息系統(tǒng)中的商用密碼系統(tǒng)進(jìn)行測評。的商用密碼系統(tǒng)安全等級保護(hù)測評工作擬分以下三個(gè)階段：測評申請階段、現(xiàn)場檢測階段、報(bào)告與結(jié)論階段。

在信息安全合規(guī)性要求中，等級保護(hù)和分級保護(hù)以其涉及范圍廣，實(shí)施具有高度專業(yè)化和復(fù)雜性的特點(diǎn)，成為信息安全合規(guī)測評工作的重點(diǎn)和難點(diǎn)，后面的文章將會對這兩個(gè)概念進(jìn)行重點(diǎn)解讀。

二、區(qū)分信息安全等級保護(hù)與分級保護(hù)

通過上文我們知道，信息安全等級保護(hù)與分級保護(hù)是在信息安全合規(guī)測評中兩個(gè)非常重要的概念，二者密切相關(guān)又有區(qū)別。山東省軟件評測中心結(jié)合在等級保護(hù)測評和分級保護(hù)測評中的具體實(shí)踐，對等級保護(hù)和分級保護(hù)進(jìn)行詳細(xì)介紹，理清兩者間的關(guān)聯(lián)。

1、信息系統(tǒng)等級保護(hù)

由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會發(fā)展、社會生活和工作的需要而設(shè)計(jì)、建立的，是社會構(gòu)成、行政組織體系的反映，因而這種系統(tǒng)結(jié)構(gòu)是分層次和級別的，而其中的各種信息系統(tǒng)具有重要的社會和經(jīng)濟(jì)價(jià)值，不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好國家信息安全保護(hù)的前提。

信息系統(tǒng)安全等級保護(hù)將安全保護(hù)的監(jiān)管級別劃分為五個(gè)級別：

第一級：用戶自主保護(hù)級完全由用戶自己來決定如何對資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。

第二級：系統(tǒng)審計(jì)保護(hù)級本級的安全保護(hù)機(jī)制受到信息系統(tǒng)等級保護(hù)的指導(dǎo)，支持用戶具有更強(qiáng)的自主保護(hù)能力，特別是具有訪問審計(jì)能力。

第三級：安全標(biāo)記保護(hù)級除具有第二級系統(tǒng)審計(jì)保護(hù)級的所有功能外，還它要求對訪問者和訪問對象實(shí)施強(qiáng)制訪問控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督、審計(jì)。

第四級：結(jié)構(gòu)化保護(hù)級將前三級的安全保護(hù)能力擴(kuò)展到所有訪問者和訪問對象，支持形式化的安全保護(hù)策略。

第五級：訪問驗(yàn)證保護(hù)級這一個(gè)級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動(dòng)，仲裁訪問者能否訪問某些對象從而對訪問對象實(shí)行?？?，保護(hù)信息不能被非授權(quán)獲取。

在等級保護(hù)的實(shí)際操作中，強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù)，即：

物理部分：包括周邊環(huán)境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設(shè)備的標(biāo)識、使用、存放和管理等；

支撐系統(tǒng)：包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和通信系統(tǒng)；

網(wǎng)絡(luò)部分：包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)、網(wǎng)絡(luò)設(shè)備的管理和報(bào)警，網(wǎng)絡(luò)***的監(jiān)察和處理；

應(yīng)用系統(tǒng)：包括系統(tǒng)登錄、權(quán)限劃分與識別、數(shù)據(jù)備份與容災(zāi)處理，運(yùn)行管理和訪問控制，密碼保護(hù)機(jī)制和信息存儲管理；

管理制度：包括管理的組織機(jī)構(gòu)和各級的職責(zé)、權(quán)限劃分和責(zé)任追究制度，人員的管理和培訓(xùn)、教育制度，設(shè)備的管理和引進(jìn)、退出制度，環(huán)境管理和監(jiān)控，安防和巡查制度，應(yīng)急響應(yīng)制度和程序，規(guī)章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。

2、涉密信息系統(tǒng)分級保護(hù)

涉密信息系統(tǒng)實(shí)行分級保護(hù)，先要根據(jù)涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計(jì)民生造成的危害性，以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來確定信息安全的保護(hù)等級；涉密信息系統(tǒng)分級保護(hù)的核心是對信息系統(tǒng)安全進(jìn)行合理分級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督?！痢痢翆ｉT對涉密信息系統(tǒng)如何進(jìn)行分級保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn)，目前，正在執(zhí)行的兩個(gè)分級保護(hù)的國家保密標(biāo)準(zhǔn)是BMB17《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》。從物理安全、信息安全、運(yùn)行安全和安全保密管理等方面，對不同級別的涉密信息系統(tǒng)有明確的分級保護(hù)措施，從技術(shù)要求和管理標(biāo)準(zhǔn)兩個(gè)層面解決涉密信息系統(tǒng)的分級保護(hù)問題。

涉密信息系統(tǒng)安全分級保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機(jī)密級和機(jī)密級（增強(qiáng)）、絕密級三個(gè)等級：

秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護(hù)水平不低于國家信息安全等級保護(hù)三級的要求，并且還必須符合分級保護(hù)的保密技術(shù)要求。

機(jī)密級：信息系統(tǒng)中包含有最高為機(jī)密級的國家秘密，其防護(hù)水平不低于國家信息安全等級保護(hù)四級的要求，還必須符合分級保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級信息系統(tǒng)應(yīng)選擇機(jī)密級（增強(qiáng)）的要求：

（1）信息系統(tǒng)的使用單位為副省級以上的黨政首腦機(jī)關(guān)，以及國防、外交、國家安全、軍工等要害部門；

（2）信息系統(tǒng)中的機(jī)密級信息含量較高或數(shù)量較多；

（3）信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。

絕密級：信息系統(tǒng)中包含有最高為絕密級的國家秘密，其防護(hù)水平不低于國家信息安全等級保護(hù)五級的要求，還必須符合分級保護(hù)的保密技術(shù)要求，絕密級信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

涉密信息系統(tǒng)要按照分級保護(hù)的標(biāo)準(zhǔn)，結(jié)合涉密信息系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行方案設(shè)計(jì)。涉密信息系統(tǒng)定級遵循“誰建設(shè)、誰定級"的原則，可以根據(jù)信息密級、系統(tǒng)重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進(jìn)行相應(yīng)的保護(hù)。建設(shè)完成之后應(yīng)該進(jìn)行審批；審批前由×××授權(quán)的涉密信息系統(tǒng)測評機(jī)構(gòu)進(jìn)行系統(tǒng)測評（山東省軟件評測中心是山東省內(nèi)唯一的涉密信息系統(tǒng)檢測機(jī)構(gòu)），確定在技術(shù)層面是否達(dá)到了涉密信息系統(tǒng)分級保護(hù)的要求。

3、等級保護(hù)和分級保護(hù)之間的關(guān)系

國家安全信息等級保護(hù)重點(diǎn)保護(hù)的對象是涉及國計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng)，而不論它是否涉密。如：國家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；金融、稅務(wù)、工商、海關(guān)、能源、交通運(yùn)輸、社會保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng)；國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)等。

涉密信息系統(tǒng)分級保護(hù)保護(hù)的對象是所有涉及國家秘密的信息系統(tǒng)，重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位，由各級保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全，確保國家秘密不被泄漏。

國家信息安全等級保護(hù)是國家從整體上、根本上解決國家信息安全問題的辦法, 進(jìn)一步確定了信息安全發(fā)展的主線和中心任務(wù), 提出了總體要求。對信息系統(tǒng)實(shí)行等級保護(hù)是國家法定制度和基本國策，是開展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。而涉密信息系統(tǒng)分級保護(hù)則是是國家信息安全等級保護(hù)的重要組成部分，是等級保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。

三、等級合規(guī)測評的主要內(nèi)容

1、單元測評。單元測評從信息安全管理制度、信息安全管理機(jī)構(gòu)、人員安全管理、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)運(yùn)維管理、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等層面，測評《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況。

2、整體測評。整體測評主要測評分析信息系統(tǒng)的整體安全性。在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等，是在單元測評基礎(chǔ)上進(jìn)行的進(jìn)一步測評分析。

四、等級合規(guī)測評的重要作用

1、等級合規(guī)測評是落實(shí)信息安全等級保護(hù)制度的重要環(huán)節(jié)

在信息系統(tǒng)建設(shè)、整改時(shí)，信息系統(tǒng)運(yùn)營、使用單位通過等級測評進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。信息系統(tǒng)定級是整個(gè)等級保護(hù)工作的開始，等級保護(hù)基本要求是對不同等級信息系統(tǒng)實(shí)行等級保護(hù)的基礎(chǔ)?？蛻艨梢曰诙壷改蠈π畔⑾到y(tǒng)定級，基于等級保護(hù)基本要求實(shí)施保護(hù)措施，從而將有效落實(shí)國家有關(guān)等級保護(hù)的制度要求和文件精神。

2、等級測評報(bào)告是信息系統(tǒng)開展整改加固的重要指導(dǎo)性文件，也是信息系統(tǒng)備案的重要附件材料

等級測評結(jié)論為信息系統(tǒng)未達(dá)到相應(yīng)等級的基本安全保護(hù)能力的，運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)等級測評報(bào)告，制定方案進(jìn)行整改，盡快達(dá)到相應(yīng)等級的安全保護(hù)能力。

3、等級測評使整個(gè)組織規(guī)范一致的開展等級評定工作

合規(guī)測評基于客戶的組織架構(gòu)、運(yùn)作模式等特點(diǎn)，制定信息系統(tǒng)安全保護(hù)等級定級指南，明確在組織內(nèi)開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個(gè)組織范圍內(nèi)一致地開展。 

4、確保突出重點(diǎn)保護(hù)對象并進(jìn)行適度保護(hù)

信息系統(tǒng)安全等級保護(hù)基本要求明確了不同等級信息系統(tǒng)的技術(shù)要求和管理要求，基于信息系統(tǒng)安全等級保護(hù)基本要求，合規(guī)測評可使客戶在符合國家法律法規(guī)要求的前提下，針對不同等級信息系統(tǒng)采取相應(yīng)等級的保護(hù)措施，從而確保重點(diǎn)突出、適度保護(hù)，節(jié)省IT投資。 

5、等級測評提高內(nèi)部人員的信息安全意識

合規(guī)測評過程中，第三方咨詢專家將與被服務(wù)單位人員密切合作。通過與被服務(wù)單位人員有針對性的交流，以及精心設(shè)計(jì)的調(diào)查問卷等，被服務(wù)單位的管理、業(yè)務(wù)、技術(shù)等人員將逐步提高對信息安全合規(guī)的認(rèn)識，強(qiáng)化信息安全意識，杜絕違規(guī)操作。

作為第三方測評機(jī)構(gòu)，山東省軟件評測中心認(rèn)為，通過等級合規(guī)測評可指導(dǎo)用戶在各個(gè)層面上綜合采取多種保護(hù)措施，保護(hù)網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境的安全、以及進(jìn)行安全運(yùn)行中心等支撐性安全設(shè)施的建設(shè)。

五、等級合規(guī)測評的操作流程

要充分發(fā)揮等級測評對信息安全的保障作用，就要按照科學(xué)的流程和方法進(jìn)行操作。山東省軟件評測中心根據(jù)等級測評的相關(guān)要求將等級測評過程分為四個(gè)基本測評活動(dòng)：測評準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評活動(dòng)、分析及報(bào)告編制活動(dòng)。而測評雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級測評過程。具體過程如下：

1、測評準(zhǔn)備活動(dòng) 

本活動(dòng)是開展等級測評工作的前提和基礎(chǔ)，是整個(gè)等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，準(zhǔn)備測試工具，為編制測評方案做好準(zhǔn)備。

2、方案編制活動(dòng) 

本活動(dòng)是開展等級測評工作的關(guān)鍵活動(dòng)，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書測評指導(dǎo)書，形成測評方案。

3、現(xiàn)場測評活動(dòng) 

本活動(dòng)是開展等級測評工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測評方案的總體要求，嚴(yán)格執(zhí)行測評指導(dǎo)書測評指導(dǎo)書，分步實(shí)施所有測評項(xiàng)目，包括單元測評和整體測評兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

4、分析與報(bào)告編制活動(dòng) 

本活動(dòng)是給出等級測評工作結(jié)果的活動(dòng)，是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和《信息安全等級保護(hù)基本要求》的有關(guān)要求，通過單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級測評結(jié)論，形成測評報(bào)告文本。

六、等級合規(guī)測評的關(guān)鍵點(diǎn)

確定了等級測評的具體流程，是為開展測評工作奠定了堅(jiān)實(shí)基礎(chǔ)，但是還要關(guān)注在具體環(huán)節(jié)上關(guān)鍵要素，它們對測評工作的成效高低具有重大影響。

1、等級測評的方法和強(qiáng)度

等級測評的基本方法一般包括訪談、檢查和測試等三種。

訪談是測評人員通過與被測評單位的相關(guān)人員進(jìn)行交談和問詢，了解被測信息系統(tǒng)安全技術(shù)和安全管理方面的相關(guān)信息，以對測評內(nèi)容進(jìn)行確認(rèn)。

檢查是測評人員通過簡單比較或使用專業(yè)知識分析的方式獲得測評證據(jù)的方法，包括：評審、核查、審查、觀察、研究和分析等方法。

測試是指測評人員通過使用相關(guān)技術(shù)工具對信息系統(tǒng)進(jìn)行驗(yàn)證測評的方法，包括功能測試、性能測試、***測試等。 

等級測評機(jī)構(gòu)應(yīng)當(dāng)根據(jù)被測信息系統(tǒng)的實(shí)際情況選取適合的測評強(qiáng)度。測評強(qiáng)度可以通過測評的深度和廣度來描述。訪談的深度體現(xiàn)在訪談過程的嚴(yán)格和詳細(xì)程度，廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上；檢查的深度體現(xiàn)在檢查過程的嚴(yán)格和詳細(xì)程度，廣度體現(xiàn)在檢查對象的種類（文檔、機(jī)制等）和數(shù)量上；測試的深度體現(xiàn)在執(zhí)行的測試類型上（功能/性能測試和***測試），廣度體現(xiàn)在測試使用的機(jī)制種類和數(shù)量上。

2、等級測評對象

測評對象是在被測信息系統(tǒng)中實(shí)現(xiàn)特定測評指標(biāo)所對應(yīng)的安全功能的具體系統(tǒng)組件。正確選擇測評對象的種類和數(shù)量是整個(gè)等級測評工作能夠獲取足夠證據(jù)、了解到被測系統(tǒng)的真實(shí)安全保護(hù)狀況的重要保證。

測評對象一般采用抽查信息系統(tǒng)中具有代表性組件的方法確定。在測評對象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。

七、等級合規(guī)測評的指標(biāo)

開展等級測評活動(dòng)應(yīng)從《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 22239-2008）中選擇相應(yīng)等級的安全要求作為基本測評指標(biāo)。

1、第二級信息系統(tǒng)等級測評指標(biāo)，除按照《信息系統(tǒng)安全等級保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的66項(xiàng)基本要求（177個(gè)控制點(diǎn)）作為基礎(chǔ)測評指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的83個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的70個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的51個(gè)控制點(diǎn)以及行業(yè)測評標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級結(jié)果組合情況進(jìn)行確定。

2、第三級信息系統(tǒng)等級測評指標(biāo)確定，除按照《信息系統(tǒng)安全等級保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的73項(xiàng)基本要求（290個(gè)控制點(diǎn)）作為測評指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的109個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的42個(gè)控制點(diǎn)以及行業(yè)測評標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級結(jié)果組合情況進(jìn)行確定。

3、第四級信息系統(tǒng)等級測評指標(biāo)確定，除按照《信息系統(tǒng)安全等級保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的77項(xiàng)基本要求（317個(gè)控制點(diǎn)）作為測評指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的120個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的35個(gè)控制點(diǎn)以及行業(yè)測評標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級結(jié)果組合情況進(jìn)行確定。

4、對于由多個(gè)不同等級的信息系統(tǒng)組成的被測系統(tǒng)，應(yīng)分別確定各個(gè)定級對象的測評指標(biāo)。如果多個(gè)定級對象共用物理環(huán)境或管理體系，而且測評指標(biāo)不能分開，則不能分開的測評指標(biāo)應(yīng)采用就高原則。

八、高效等級測評工作的注意事項(xiàng)

為了保障等級測評取得真正的成效，在測評之前，需要認(rèn)真籌備；測評過程中依照相關(guān)規(guī)定，強(qiáng)化管理。同時(shí)，在測評操作過程中還應(yīng)該嚴(yán)格遵循等級測評的相關(guān)原則。以上經(jīng)驗(yàn)，都已經(jīng)在山東省軟件測評中心的實(shí)踐中得到驗(yàn)證，成效顯著。

1、認(rèn)真做好等級測評質(zhì)量保障工作

等級測評機(jī)構(gòu)開展測評前應(yīng)與委托單位聯(lián)合成立等級測評工作組，建立通暢的溝通聯(lián)絡(luò)機(jī)制，確保等級測評活動(dòng)的順利開展。

等級測評機(jī)構(gòu)開展等級測評時(shí)，必須保證足夠的現(xiàn)場測評等級測評師。

開展第二級信息系統(tǒng)的等級測評活動(dòng)時(shí)，測評機(jī)構(gòu)至少應(yīng)由一名中級等級測評師、一名管理類等級測評師、二名技術(shù)類等級測評師參與等級測評活動(dòng)；開展第三級信息系統(tǒng)的等級測評活動(dòng)時(shí)，測評機(jī)構(gòu)至少應(yīng)由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術(shù)類等級測評師參與等級測評活動(dòng)；開展第四級信息系統(tǒng)的等級測評活動(dòng)時(shí)，測評機(jī)構(gòu)至少應(yīng)由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術(shù)類等級測評師參與等級測評活動(dòng)。

等級測評機(jī)構(gòu)開展等級測評時(shí)，應(yīng)當(dāng)投入滿足測評需要的拓?fù)浒l(fā)現(xiàn)設(shè)備、網(wǎng)絡(luò)安全配置核查設(shè)備、網(wǎng)絡(luò)協(xié)議分析設(shè)備、漏洞掃描設(shè)備、******集成設(shè)備等功能測試、性能測試、***測試工具以及必要的交通、通信設(shè)備。

等級測評活動(dòng)包括測評準(zhǔn)備、方案編制、現(xiàn)場測評、分析及報(bào)告編制四個(gè)基本階段。第二級信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于5個(gè)工作日。第三級信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于10個(gè)工作日。第四級信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級測評全過程，一般不少于20個(gè)工作日。

等級測評活動(dòng)中，測評機(jī)構(gòu)需要提交給委托方的資料不少于以下紙質(zhì)文檔：項(xiàng)目計(jì)劃書、公正性聲明、保密協(xié)議、等級測評方案、現(xiàn)場測評記錄、等級測評報(bào)告、安全建設(shè)整改意見

2、嚴(yán)格等級測評管理

信息系統(tǒng)的運(yùn)營、使用單位或主管部門應(yīng)當(dāng)選擇年審合格的測評機(jī)構(gòu)，按照《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)的安全狀況開展等級測評。

第三級信息系統(tǒng)應(yīng)每年進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)每半年進(jìn)行一次等級測評。重要的第二級信息系統(tǒng)可參照第三級信息系統(tǒng)的測評要求進(jìn)行等級測評。符合測評條件的新建、擴(kuò)建信息系統(tǒng)及信息系統(tǒng)發(fā)生重大改變時(shí)，應(yīng)及時(shí)安排等級測評。等級測評活動(dòng)結(jié)束后，測評機(jī)構(gòu)應(yīng)在15個(gè)工作日內(nèi)向被測評信息系統(tǒng)的運(yùn)營、使用單位提供等級測評報(bào)告，并應(yīng)同時(shí)向省、市兩級等保辦提交第三級（含）以上信息系統(tǒng)的等級測評報(bào)告。被測評信息系統(tǒng)安全狀況未達(dá)到信息安全等級保護(hù)制度要求的，由等級測評機(jī)構(gòu)提出安全建設(shè)整改意見，運(yùn)營、使用單位應(yīng)當(dāng)及時(shí)制定方案進(jìn)行整改。

省內(nèi)信息系統(tǒng)的等級測評工作原則上由省內(nèi)等級測評機(jī)構(gòu)完成，特殊行業(yè)等級測評機(jī)構(gòu)或省外其他等級測評機(jī)構(gòu)在省內(nèi)開展等級測評活動(dòng)時(shí)，應(yīng)在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開展等級測評活動(dòng)，并接受省等保辦的監(jiān)督管理。

測評機(jī)構(gòu)及其測評人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展客觀、公正、安全的測評服務(wù)。測評機(jī)構(gòu)可以從事等級測評活動(dòng)以及信息系統(tǒng)安全等級保護(hù)定級、安全建設(shè)整改建議、信息安全等級保護(hù)宣傳教育等工作的技術(shù)支持，但不得從事下列活動(dòng)：

(1)、影響被測評信息系統(tǒng)正常運(yùn)行，危害被測評信息系統(tǒng)安全；

(2)、泄露被測評單位及被測信息系統(tǒng)的敏感信息和工作秘密；

(3)、故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實(shí)出具等級測評報(bào)告；

(4)、未按規(guī)定格式出具等級測評報(bào)告；

(5)、非授權(quán)占有、使用等級測評活動(dòng)中的獲得的相關(guān)資料及數(shù)據(jù)文件；

(6)、分包或轉(zhuǎn)包等級測評項(xiàng)目；

(7)、從事信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；

(8)、限定被測評單位購買、使用其指定的信息安全產(chǎn)品；

(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動(dòng)。

九、等級合規(guī)測評中應(yīng)當(dāng)嚴(yán)格遵循的五個(gè)原則

1、客觀公正原則。測評人員應(yīng)當(dāng)在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認(rèn)可的測評方案，基于明確定義的測評方法和過程，實(shí)施測評活動(dòng)。

2、充分性原則。為客觀反映被測評信息系統(tǒng)的安全狀況，測評活動(dòng)要保證必需的廣度和深度，以滿足國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的測評指標(biāo)的要求。

3、經(jīng)濟(jì)性原則。測評活動(dòng)應(yīng)盡可能降低成本，減少投入?；跍y評成本和工作復(fù)雜性，鼓勵(lì)測評工作部分使用能反映信息系統(tǒng)當(dāng)前安全狀態(tài)的已有測評結(jié)果，包括商業(yè)安全產(chǎn)品測評結(jié)果和信息系統(tǒng)已有的安全測評結(jié)果。

4、結(jié)果一致性原則。針對同一信息系統(tǒng)的等級測評，不同測評機(jī)構(gòu)依據(jù)同一的測評方案和測評方法得出的測評結(jié)果應(yīng)當(dāng)一致，同一測評機(jī)構(gòu)重復(fù)執(zhí)行相同測評過程得出的結(jié)果應(yīng)當(dāng)一致。

5、安全性原則。測評機(jī)構(gòu)和測評人員在測評活動(dòng)中，應(yīng)當(dāng)履行安全保密義務(wù)，承擔(dān)相應(yīng)的法律責(zé)任，確保被測評信息系統(tǒng)安全運(yùn)行和用戶的工作秘密及商業(yè)秘密不被泄露。

 

網(wǎng)站標(biāo)題：信息安全等級合規(guī)測評
文章URL：http://bm7419.com/article40/goeiho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、自適應(yīng)網(wǎng)站、網(wǎng)頁設(shè)計(jì)公司、企業(yè)網(wǎng)站制作、用戶體驗(yàn)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)