北京市党政机关信息系统安全测评简介.pptVIP

北京市党政机关信息系统安全测评简介 北京信息安全测评中心 测评原则 先进性： 兼容性： 针对性： 可操作性 可继承性 先进性 采用ISO17799、cc标准 借鉴其它国际标准 采用BSI7799第二部分和惯例以及最新表格 借鉴BSI联邦安全手册 借鉴CERT-OCTAVE方法 兼容性 特别注意与技术测试的接口，将CC与7799融合 延承和贯彻已经发布的国家标准 特别注意与保密局指南的边界与可能的衔接 术语上特别注意与已有标准统一 测评上注意将来可能的数据调用和处理 针对性 适合党政 针对党政特别制定5类保护框架 针对应用是一大特色 针对国情在测试表中充分体现国内党政机关条块管理特点 针对党政管理特点制定流程 针对党政信息系统资源 针对党政机关的安全威胁环境 可操作性 充分考虑信息安全重要性和被测单位起点的差异性 充分考虑测试人员水平，将操作细化、标准化 充分考虑测试现场难度，将测试标准化 充分考虑被测单位管理差异性，将资料准备工具化 充分考虑测试理念循序渐进过程，建议和结论、总体结论和单体原始资料等关系技术处理。 充分进行细化和量化工作，积累经验公式 可继承性 将每次测试不同类型归档进入资料库，继承和对比测评经验 大量支持性文件，保证标准得以实施 以分级和分类相结合，保证新的测评表格能够随时方便添加 内部评分总结，积累测评经验 管理测试10个内容 安全管理 安全机构 访问控制 符合性 人员管理安全 通信和操作管理 物理和环境安全 系统开发和维护 业务连续性管理 资产等级划分与控制 测试目的 提高党政通用信息系统的安全性 查找党政系统在管理方面的安全漏洞 促进党政系统的安全管理制度完善 提出党政信息系统安全建议 为专用党政信息系统和高安全要求打下测评基础 本测评可以满足以下需求 党政机构根据以下情况，开展通用信息系统的安全测评： 1）信息系统工程的验收； 2）信息系统的定期评估； 3）根据职能要求进行的信息系统测评； 4）用户请求的信息系统测评； 5）其他需要进行的或接受有关信息安全主管部门授权的专用信息系统测评活动； 测试依据 《中华人民共和国计算机信息系统安全保护条例》 《计算机信息系统安全保护等级划分准则》 《北京市政务与公共服务信息化工程建设管理办法》（市政府第67号令） 《北京市党政机关计算机网络信息安全管理办法》(27号文) 《计算机信息系统安全保密测评指南》（BMZ3） 《北京市党政机关信息系统安全评测规范》 《北京市政务公开网站通用安全技术要求》（DB11/T145） 系统测试流程 用户提出系统测试申请 填写系统测试申请表准备相关的文档资料 提交申请表及其相关文档资料 对用户提交的资料进行形式化审查 进行现场测试 给出测试结论并出具测试报告 依据标准写的测试方法 根据测试项目明确测试方法 制定相关测试表格 制定现场测试记录 申请表及相关文档的提交 用户申请表 系统安全设计方案 提交资料清单 提交相关资料的电子档 申请书 目 录? 告用户 填表要求 一、申请单位基本情况 二、评估项目选择 三、评估对象概况 系统安全方案技术负责人简历表 系统安全方案主要设计和工程实施技术人员表 委托书 申请单位声明 附件一：系统应用需求及安全设计方案 附件二：系统安全管理机构和管理制度汇编 附件三：系统测试报告 附件四：系统脆弱性分析 附件五：质量手册的简要说明 附件六：质量体系文件 被测单位提交资料 1）应在测评开始前收集（或要求被测系统的业主提供）或准备以下资料： 系统建设的立项审批资料； 系统建设的所有文档，包括但不限于：系统设计报告、安全系统设计报告、网络拓扑图、应用系统设计报告、需求分析报告、工程实施报告、工程各阶段验收报告、测试报告、质量保证报告、产品采购纪录、产品清单、产品品质保证报告、产品测评和认证情况说明、承建商情况、主要产品供应商情况、服务合同等； 文档资料 用户资料及申请的形式化审查 对系统安全设计方案的评审 对用户提供资料的完整性进行评审 依据评审结果对用户申请给以结论 形式化审查 测试计划的制定 依据用户的申请制定测试计划 测试工具的选择 测试人员的安排 测试时间的安排 用户相关人员 协调人 信息安全管理人员 IT管理人员 业务操作人员 现场测评 现场测评流程 按照测评表格向协调人逐类、逐项验证安全文档的粘贴和存在情况 对于安全决策和安全理念项目逐项向安全管理人员询问和求证 对于安全技术向IT人员逐项问讯和求证 对于安全操作状况逐项向业务操作人员抽检和验证 测评模版 例：(安全管理_测评表)标准的测试项 1、 标准的测试项： u?????? 策略文档有无及权威性和执行情况：是否具有由管理机构批准的安全策略文档，并发布传达个所有人员 u?????? 系统安全策略文档内容：明确安全的