《信息安全保障指标体系及评价方法 第3部分 实施指南》.docVIP

GB/TXXXXX.1-XXXX

PAGE22

GB/TXXXXX.3-XXXX

PAGE1

ICS?35.040

L80

中华人民共和国国家标准

GB/TFORMTEXT?????.3—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息安全技术信息安全保障指标体系及评价方法第3部分实施指南

FORMTEXTInformationsecuritytechnology-Indicatorsystemofinformationsecurityassuranceandevaluationmethods-Part3Implementationguide

FORMTEXT（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

FORMDROPDOWN

FORMTEXT2013-07

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX.3-XXXX

GB/TXXXXX.3—XXXX

PAGE21

GB/TXXXXX.3-XXXX

信息安全技术信息安全保障指标体系及评价方法第3部分实施指南

范围

GB/TXXXXX.3规定了信息安全保障评价活动的实施指南，给出了信息安全保障指标的数据处理方法。

本文件适用于指导信息安全保障评价活动的具体实施，适用于国家宏观层面信息安全保障评价工作。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

术语

GB/TXXXXX.1GB/TXXXXX.2中界定的术语和定义适用于本文件。

概述

信息安全保障评价的目的和作用

国家信息安全保障评价是对信息安全保障体系的建设情况、运行能力和安全态势进行综合评价，评价结果为国家信息安全决策和管理部门提供支持。

评价活动执行主体

信息安全保障评价活动的执行主体是经过信息安全主管部门委托或授权的机构或组织。该机构或组织必须具备国家信息安全主管部门要求的相关资质，依据国家信息安全主管部门有关要求和信息安全保障评价工作的实际需求，组建评价队伍并开展评价活动。

评价工作开展的相关要求见附录A。

可能遇到问题和风险

实施评价前，需要认真调研和分析评价对象所处的环境，识别其面临的风险和本身的脆弱性，并在评价活动开展前对评价对象的责任方进行必要的告知。

信息安全保障评价活动可能遇到的问题包括但不限于：

影响系统运行

采集评价指标的基础数据和相关资料时，可能需要对被测设备和系统进行一些人为操作或工具测试。例如，当测试人员上机查看信息时可能会产生误操作从而对系统运行造成影响，或者当使用一些技术测试工具进行漏洞测试、性能测试或渗透测试时可能会对系统的负载、服务器和网络通信造成影响。

信息泄露

评价活动可能会造成敏感信息的泄露。一方面，采集评价指标的数据和资料时，可能会通过数据采集接口泄露被测设备或系统的状态信息；另一方面，采集的评价指标数据和资料经过规整后，本身属于敏感信息，一旦泄露将给被测系统和系统责任方造成影响。

对结果的争议

信息安全保障评价的依据和标准是确定的，但由于不同单位的设备和系统具有各自的特殊性，因此评价结果往往不能全面反映被测单位所拥有系统的所有状态，甚至可能遗漏一些较为重要的方面，这可能造成评价执行者与被测单位之间对评价结果的争议。

评价活动实施过程

评价准备

信息安全保障评价的准备工作是否充分关系到评价活动的科学性、有效性以及评价工作是否能够顺利开展。评价准备活动的主要任务是确定评价目的，掌握评价目标、对象和内容，明确评价项目计划，并做好相应的技术准备工作。

方案编制

评价方案编制活动是为了给信息安全保障评价活动提供一些基础文档和技术指导方案，主要任务是在明确评价指标的情况下，制定指标数据采集的调研与测试计划，开发评价人员的评价实施手册，形成评价方案。

调研与测试

调研与测试活动是采集评价指标所需数据和资料的基础性工作，主要任务是按照评价方案的总体要求，严格执行评价实施手册，实施评价活动所需的所有调研与测试项目，包括人员访谈、文档调研、问卷调查、工具测试、实地察看等。

结果分析

本项活动的主要任务