您的当前位置:首页正文

关于对我国信息安全等级保护制度中等级测评的认识

2024-04-02 来源:易榕旅网
存在的安全隐患。 二、等级测评的特点 等级测评不同于一般的安全检测和风险评估,具 有其自身的特点,主要表现在以下几个方面: 1.等级测评的对象是已经定级的信息系统 信息系统开展等级测评的前提是系统已经完成定 级工作,只有明确了信息系统的安全保护等级,才能 够依据信息系统安全保护等级,确定等级测评工作中 的测评指标、测评力度和测评方法。 2.等级测评是标准符合性测评 等级测评是依据标准《信息系统安全等级保护基 本要求》(GB/T 22239—2008)(简称《基本要 求》)展开的,等级测评严格依据信息系统安全保护 等级及其基本保护要求开展测试验证工作,等级测评 的结果将作为国家信息安全主管部门监督管理的技术 依据。因此等级测评活动是一项政策性和技术专业化 相结合的安全服务。 3.具有等级化的特点 等级测评的等级化特点主要体现在两个方面,一 是不同等级的系统测评内容不同,二是不同等级系统 的测评力度也不同。系统安全保护等级越高,测评力 度越大,测评力度体现测评工作的投入程度,反映出 测评的广度和深度。测评广度越大,测评范围越大; 测评的深度越深,越需要在细节上展开,测评就越严 格。 4。具有统一的报告格式。 等级测评结果是信息系统安全整改建设中安全需 求的主要来源,也是信息安全主管和监管部门监督、 检查和判断系统运营使用单位落实安全要求和措施的 主要依据,因此,公安部统一制定了等级测评报告的 模板,规范了等级测评报告的格式和内容。 三、等级测评主要内容 1测评方法 《信息系统安全等级保护测评要求》(简称《测 评要求》)和《信息系统安全等级保护测评过程指 南》是开展等级测评工作主要依据的技术标准,《测 评要求》与《基本要求》相对应,《测评要求》将等 级测评分为单元测评和整体测评两部分,在保证相应 安全等级的测评强度基础上,首先开展单元测评,在 我国信息安全等级保护工作的新进展 单元测评的基础上再开展整体测评。单元测评主要围 绕如何对《基本要求》的每一项具体要求展开测评进 行描述,提出了测评指标、测评实施和结果判定三部 分内容。测评指标直接指向《基本要求》相应等级的 安全要求; “测评实施”描述测评过程中涉及到的具 体测评方法以及需要实施的测评步骤; “结果判定” 给出了测评人员执行完测评实施过程,产生各种测评 证据后,如何依据这些测评依据来判定被测系统是否 满足测评指标要求的原则。 在单元测评的基础上,对信息系统开展整体测 评,进一步分析信息系统的整体安全性。整体测评主 要包括安全控制点问、层面间和区域问相互作用的安 全测评以及系统结构的安全测评等。整体测评体现出 一个测评回归的过程。最初《基本要求》根据每一级 系统的保护能力提出了具体的安全要求项,在单元测 评过程中,针对每一项进行了测评,但是由于信息系 统及其安全防护措施具有多样性,安全要求项无法穷 尽所有的安全措施和能力要求,因此,在单项测评完 成后,还应当回归到系统安全保护能力的高度进行综 合分析和评价。尤其是在单项测评中发现的不符合 项,需要一个结合系统特点进行整体分析的过程。评 价信息系统的整体安全保护能力有没有缺失,是否能 够对抗相应等级的安全威胁。 2 测评流程 等级测评流程主要分为四个活动和阶段:测评准 Police Technology 2010年3月 11 专题 磐 备、方案编制、现场测评以及报告编制,而测评双方 之间的沟通与洽谈应贯穿整个等级测评过程。 测评准备活动的目标是顺利启动测评项目,准备 测评所需的相关资料,为编制测评方案打下良好基 础。测评准备活动包括项目启动、信息收集和分析、 工具和表单准备等主要任务。 方案编制活动的目标是整理测评准备活动中获取 的信息系统相关资料,为现场测评活动提供最基本的 文档和指导方案。方案编制活动包括测评对象确定、 测评指标确定、测评内容确定、工具测试方法确定、 测评指导书及测评方案编制等主要任务。 现场测评活动通过与测评委托单位进行沟通和协 调,为现场测评的顺利开展打下良好基础,依据测评 方案实施现场测评工作,将测评方案和测评方法等内 容具体落实到现场测评活动中,现场测评工作应取得 报告编制活动所需的足够的证据和资料。现场测评活 动包括现场测评准备、现场测评和结果记录、结果确 认和资料归还等主要任务。 报告编制活动通过对现场测评获取的测评结果和 数据进行汇总分析,在进行单元测评和整体测评基础 上,形成等级测评结论,并编制测评报告。 3.测评结论 等级测评机构在完成现场测评后,按照公安部统 一制定的等级测评报告模板的格式要求出具等级测评 12匿圜2010年3月 报告,等级测评报告直接体现测评的成果,包括但不 局限于以下内容:报告摘要、测评项目概述、被测信 息系统情况、等级测评范围与方法、单元测评、整体 测评、测评结果汇总、风险分析和评价、等级测评结 论、安全建设整改建议等。 四、等级测评工作开展情况 1.等级测评体系建设试点工作 2009年7月至10月,公安部在浙江、广东、河 南、重庆四省市的12家测评机构组织开展了等级测评 体系建设试点工作,目的是探索等级测评工作模式、 经验和方法,保障全国重要信息系统等级保护安全建 设工作顺利开展。经过试点各参与单位的精心组织和 实践,试点工作实现了预期目标。 2.抓紧建立等级测评相关标准 为加强等级测评体系建设工作的规范化,细化工 作流程和指南,规范测评活动,提高对测评机构和测 评人员的管理水平。目前与等级测评直接相关的《测 评要求》和《过程指南》两个标准正在抓紧制定当 中,并已经通过了相关部门的论证和评审,进入到了 fE ̄tt稿阶段。 3.机构建设和人员培养 等级测评主要对象为我国的重要信息系统,是关 系国家安全、经济命脉、社会稳定等方面的重要信息 系统,需要从事等级测评工作的专业机构和人员具有 把握国家政策,理解和掌握相关技术标准,熟悉等级 测评的方法、流程和工作规范等方面的能力及知识。 为加强对测评机构及测评人员管理,稳步推进等级测 评机构建设,规范等级测评活动,提高测评机构、人 员的技术能力和水平,我国信息安全主管部门正在试 点工作经验基础上,抓紧做好等级测评机构建设和人 员培养等各项准备工作,为在全国开展等级测评体系 建设做好各项基础性工作。 参考文献 …1 GB/T 222392008,信息系统安全等级保护基本要求. 『2]《信息安全等级保护管理办法》(公通字[2007]43 号) 2007. I3]《信息系统安全等级保护测评要求》(报批稿)  l4I《信息系统安全等级保护测评过程指南》(报批稿) 

因篇幅问题不能全部显示,请点此查看更多更全内容