《附件2 金融行业信息系统信息安全等级保护测评指南(报批稿)》.docVIP

目 次 前 言 II 引 言 III 1范围 1 2规范性引用文件 1 3概述 2 4等级测评过程 3 5测评准备 4 6测评方案 4 7现场测评 7 8分析与报告编制 168 附录A （资料性附录） 现场单元测评检查表 172 参考文献 330 前 言 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会归口。 本标准负责起草单位：中国人民银行科技司。 本标准参加起草单位：中国金融电子化公司。 本标准主要起草人：王永红 王小青 张永福 王晓燕 王海涛 杨剑 沈力克 白智勇 徐明 许自强 郑凯一 仇宁宁 李凡 叶强林 陈广辉 赵义斌 杨英 周庆斌。 本标准为首次制定。引 言 金融行业重要的信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等级保护是国家在信息安全保障工作的一项基本制度，金融行业作为重要信息系统行业部门之一，应遵照实施该制度。围绕金融信息安全等级保护工作的开展，需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和指导金融等级保护工作的实施。中国人民银行作为我国中央银行，负有监管金融行业的重任，需要在金融行业内建立符合金融行业特点的信息安全等级保护体系规范，通过备案、指导、检查、督促整改等方式来推进金融行业信息安全等级保护工作建设。为此，人民银行科技司组织安全等级保护领域专家和相关技术人员，根据国家关于信息安全等级保护工作的相关制度和标准，制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。 信息系统安全等级保护测评指南 1范围 本标准规定了金融行业对信息系统安全等级保护测评评估的要求，包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。本标准略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。 本标准适用于行业进行自测评（如第二级信息系统）、信息安全测评服务机构（如第三和第四级信息系统）对信息系统安全等级保护状况进行的安全测评评估。 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 3概述 3.1测评内容 信息系统安全等级保护状况测评评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。 系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。 测评对象是测评实施过程中涉及到的信息系统的构成成分，是客观存在的人员、文档、机制或者设备等。测评对象是根据该工作单元中的测评项要求提出的，与测评项的要求相适应。一般来说，实施测评时，面临的具体测评对象可以是单个人员、文档、机制或者设备等，也可能是由多个人员、文档、机制或者设备等构成的集合，它们分别需要使用到某个特定安全控制的功能。 GB/T 22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求，等级测评应根据信息系统的定级情况选取相应的通用指标类（G），业务信息安全性指标类（S）、业务服务保证类（A）安全测评指标，并依据《信息安全技术 信息系统安全等级保护测评要求》和《信息安全技术 信息系统安全等级测评过程指南》对信息系统实施安全测评。 安全测评现场工作一般采用访谈、检查和测评等三类方法。 访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法；访谈使用到的工具主要是访谈列表。测