信息安全服务-健新科技.docVIP

等保测评 信息安全等级保护已经成为全国各行业进行信息安全建设的重点内容，而信息安全风险评估正是进行信息安全等级保护工作的切入点。如何进行信息安全风险评估，如何通过风险评估为信息安全等级保护建设提供必要的输入数据已经成为风险评估所需要解决的重点问题。 信息安全等级保护测评工作要求： 1、依据标准，遵循原则 等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239-2008和GB/T DDDD-DDDD，其中等级测评目标和内容应依据GB/T 22239-2008，对具体测评项的测评实施方法则依据GB/T DDDD-DDDD。 在等级测评实施活动中，应遵循GB/T DDDD-DDDD中规定的测评原则，保证测评工作公正、科学、合理和完善。 2、恰当选取，保证强度 恰当选取是指对具体测评对象的选择要恰当，既要避免重要的对象、可能存在安全隐患的对象没有被选择，也要避免过多选择，使得工作量增大。保证强度是指对被测系统应实施与其等级相适应的测评强度。 3、规范行为，规避风险 测评机构实施等级测评的过程应规范，包括：制定内部保密制度；制定过程控制制度；规定相关文档评审流程；指定专人负责保管等级测评的归档文件等。测评人员的行为应规范，包括：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员等。规避风险，是指要充分估计测评可能给被测系统带来的影响，向被测系统运营/使用单位揭示风险，要求其提前采取预防措施进行规避。同时，测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险，尽量避免给被测系统和单位带来影响。 等级保护评估实施过程按下列四个阶段进行，请见下述等级保护测评实施流程图： 评估准备阶段 评估准备阶段是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。评估准备阶段主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。 方案编制阶段 方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书测评指导书开发及测评方案编制六项主要任务。 现场评估阶段 现场评估阶段主要是通过与客户进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。 现场评估活动，分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。 分析与报告编制阶段 在现场测评工作结束后，测评机构应对现场测评获得的测评结果（或称测评证据）进行汇总分析，形成等级测评结论，并编制测评报告。 测评人员在初步判定单元测评结果后，还需进行整体测评，经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果，而后进行风险分析和评价，形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。