信息安全等级保护测评项目测评内容.docx

信息安全等级保护测评项目测评内容 当根据信息系统的业务重要性及其他相关因素对信息系统进行划分，确定了信息系统的安全保护等级后，需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距，这种差距是一种安全需求，是进行安全方案设计的基础。 传统的安全需求分析方法有很多，如风险分析法，但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法，莫过于等级评估测评法。 活动目标： 本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信 息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要 求。 参与角色： 甲方\广州华南信息安全测评中心 活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统测评计 划，信息系统测评方案。 活动描述： 参见有关信息系统安全保护等级测评的规范或标准。 活动输出： 安全等级测评评估报告。 信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容： 一、资料审查 测评机构接受用户提供的测评委托书和测评资料； 测评机构对用户提供的测评委托书和测评资料进行形式化审查，判断是否需要补充相关资料； 二、核查测试 测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等，制定系统安全评估测评计划； 依据系统安全测评计划制定系统安全评估测评方案； 依据系统安全测评方案实施现场核查测试； 对核查测试结果进行数据整理记录，并形成核查测试报告。 三、综合评估 对用户资料，评估机构实地调研资料和测试报告进行综合分析，形成分析意见； 就分析意见与用户沟通确认，最终形成系统安全测评综合评估报告； 对系统安全测评综合评估报告进行审定； 出具最终《信息系统安全测评综合评估报告》 测评数据处理 对信息系统现场核查记录进行汇总分析，完成信息系统现场核查报告； 对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化审查报告、信息系统现； 场核查记录、现场核查报告以及测试过程中所有的书面记录，经分析整理后，形成信息系统安全测评综合评估报告； 系统安全性测评过程所产生的全部数据、记录、资料应归档管理； 系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露； 系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。 测评结论 信息系统经测评机构安全测评后，向被测评单位出具信息系统安全测评综合评估报告； 信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理方面及技术方面的安全状况，其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见。