DB21∕T 1936—2012 安全等级测评量化评价.docVIP

ICS35.040 L 80 DB21 辽宁省地方标准 DB 21/ T1936—2012 信息系统安全等级测评量化评价方法 Quantitative evaluation method for the testing and evaluation for classified protection of information system 点击此处添加与国际标准一致性程度的标识 （本稿完成日期：2011/10/31） 2012 - 01 - 09发布 2012 - 02 - 09实施 辽宁省质量技术监督局发布 目次 前言 II 引言 III 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 4　安全等级测评判定流程 1 5　安全等级测评结果判定 2 6　风险分析 3 7　量化评价 4 附录A（资料性附录）　 6 参考文献 7 前言 本标准的编制依据GB/T 1.1-2009 《标准化工作导则 第1部分：标准的结构和编写规则》的要求进行。 本标准由辽宁省经济和信息化委员会提出。 本标准由辽宁省质量技术监督局归口。 本标准附录A为资料性附录。 本标准起草单位：辽宁北方实验室有限公司。 本标准主要起草人：于春刚、郭剑锋、吴治、郝玉军、姜志坤、王智纲。 本标准为首次发布。 引言 《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件的出台，加快推进了我国信息系统安全等级保护工作的实施，等级测评是信息系统安全等级保护工作的重要环节。 本标准是GB/T 22239-2008的相关配套标准之一。本标准针对依据GB/T 22239-2008等相关标准规范开展安全等级测评，提出对安全等级测评进行量化评价的一种方法。 信息系统安全等级测评量化评价方法 范围 本标准规定了安全等级测评判定流程、安全等级测评结果判定、风险分析、量化评价等内容。 本标准适用于根据GB/T 22239-2008进行信息系统安全等级测评，对测评结果在风险分析的基础上进行量化评价。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 术语和定义 GB/T 22239和GB/T 20984确立的以及下列术语和定义适用于本标准。 　　等级测评 确定信息系统安全保护能力是否达到相应等级基本要求的过程。 　　测评对象 信息系统的组成部分，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。 安全等级测评判定流程 安全等级测评判定流程如图1所示： 安全等级测评结果判定流程 单项测评结果判定主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。 单元测评结果判定是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果。 整体测评是针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果。 风险分析过程是采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。 等级测评结论形成是在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。 安全等级测评结果判定 单项测评结果判定 如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合； 如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合； 上述两种情况之外判定该测评项的单项测评结果为部分符合。 单元测评结果判定 测评指标包含的所有适用测评项的单项测评结果均为符合，则该测评对象对应该测评指标的单元测评结果为符合； 测评指标包含的所有适用测评项的单项测评结果均为不符合，则该测评对象对应该测评指标的单元测评结果为不符合； 测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用； 测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。 等级测评结论判定 等级测评结论判定基于单项测评结果判定、单元测评结果判定、整体测评、风险分析，是对信息系统基本安全