04-信息系统安全等级保护测评过程.ppt

* 单项测评结果判定 本任务主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。 单元测评结果判定 本任务主要是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。 1．签署委托测评协议 在测评开始前，双方签订委托测评协议，明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后工作出现大的分歧。 2．签署保密协议 测评双方应签订完善的、合乎法律规范的保密协议，规定测评双方保密方面的权利与义务，以约束测评双方现在和将来的行为。 3．签署现场测评授权书 在现场测评开始之前，测评双方应以测评授权的方式明确现场测评工作中双方的责任，揭示可能的风险，避免可能出现的纠纷和分歧。 3．规范化的实施过程 为保证按计划、高质量地完成测评工作，我们对实施过程的每个阶段都依据作业指导书进行规范化管理，作业指导书中明确了测评过程中每一阶段需要产生的相关文档，明确了测评记录和测评报告要求，使测评有章可循。在委托测评协议、现场测评授权书和测评方案中，也会明确双方的人员职责、测评对象、时间计划、测评内容要求。 4．现场测评工作风险的规避 进行验证测试和工具测试时，测评机构需要与测评委托单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要被测系统运营、使用单位对整个测试过程进行监督； 在进行验证测试和工具测试前，对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案； 上机验证测试原则上由被测系统运营、使用单位相应的技术人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证，避免由于测评人员对某些专用设备不熟悉造成误操作； 测评中使用的测试工具在使用前会事先告知被测系统运营、使用单位，并详细介绍这些工具的用途以及可能对信息系统造成的影响，征得其同意。 5．沟通与交流 为避免测评工作中可能出现的争议，在测评开始前、测评过程中以及现场测评完成后，双方需要进行积极有效的沟通和交流，及时解决测评中出现的问题，这对保证测评的过程质量和结果质量有重要的作用。 方案编制活动的目标： 整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。 等级测评过程 方案编制活动的工作流程： 等级测评过程 测评对象确定 测评工具接入点确定 测评指标确定 测评方案编制 测评内容确定 测评指导书开发 方案编制活动的主要任务： 确定测评对象 确定测评指标 确定测试工具接入点 测评内容确定 测评指导书开发 测评方案编制 等级测评过程 方案编制活动中双方的职责： 测评机构职责： 1、详细分析被测系统的整体结构、边界、网络区域、重要节点等。 2、初步判断被测系统的安全薄弱点。 3、分析确定测评对象、测评指标和测试工具接入点，确定测评内容及方法。 4、编制测评方案文本，并对其内部评审，并提交被测机构签字确认。 测评委托单位职责： 对测评方案进行认可，并签字确认。 等级测评过程 等级测评过程 测评准备活动 方案编制活动 现场测评活动 分析及报告编制活动 现场测评活动 现场测评活动的工作流程 现场测评活动的主要任务 现场测评活动的输出文档 现场测评活动中双方的职责 等级测评过程 等级测评过程 现场测评活动的工作流程： 现场测评准备 结果确认和资料归还 现场测评和结果记录 现场测评活动的主要任务： 现场测评准备 等级测评过程 现场测评活动的主要任务： 现场测评和结果记录 现场测评一般包括： 访谈 文档审查 配置检查 实地察看 工具测试 结果确认和资料归还 等级测评过程 现场测评活动的输出文档: 任务 输出文档 文档内容 现场测评准备 会议记录、确认的测评授权书、更新后的测评计划和测评程序 工作计划和内容安排，双方人员的协调，测评委托单位应提供的配合 访谈 技术安全和管理安全测评的测评结果记录或录音 访谈记录 文档审查 管理安全测评的测评结果记录 管理制度和管理执行过程文档的记录 配置检查 技术安全测评的网络、主机、应用测评结果记录 检查内容的记录 工具测试 技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 实地察看 技术安全测评的物理安全和管理安全测评结果记录 检查内容的记录 测评结果确认 现场核查中发现的问题汇总、证据和证据源记录、测评委托单位的书面认可文件 测评活动中发现的问题、问题的证据和证据源、