金融行业网络安全等级保护测评作业指导书.docxVIP

第PAGE18页/共SECTIONPAGES39页

金融行业网络安全等级保护

测评作业指导书

编制：2023年5月24日

审核：2023年5月25日

批准：2023年5月29日

目录

TOC\o1-3\h\z\u1 目的 5

2 参考依据 5

3 适用范围 5

4 等级测评内容及方法 5

4.1 测评作业指导书选取 7

4.2 安全扩展指标 7

4.3 不适用指标 7

4.4 信息系统测评项权重赋值表 8

5 测评对象选取 8

6 测评结果判定 9

6.1 单元测评 9

6.1.1 单元测评结果记录 9

6.1.2 单元测评汇总 10

6.1.3 单元测评小结 11

6.1.4 安全问题汇总 12

6.2 验证测试 12

6.3 整体测评 12

6.3.1 安全控制间安全测评 13

6.3.2 层面间安全测评 13

6.3.3 区域间安全测评 14

6.3.4 整体测评结果汇总 16

6.4 安全问题风险分析及判定准则 16

6.4.1 高风险判定准则 17

6.4.2 中风险判定准则 17

6.4.3 低风险判定准则 17

6.4.4 不适用判定准则 18

6.5 问题处置建议 18

6.6 等级测评结论 19

7 测评方法与工具 19

7.1 测评方法 20

7.2 工具测试接入点选取原则 21

8 测评风险及规避措施 22

8.1 风险和规避措施 22

8.1.1 操作系统和常见应用漏洞扫描 22

8.1.2 WEB应用漏洞扫描 23

8.1.3 渗透测试 23

9 测评工作流程 24

9.1 测评申请 25

9.2 测评准备 25

9.3 现场测评 26

9.3.1 安全物理环境测评要求 26

9.3.2 安全通信网络测评要求 26

9.3.3 安全区域边界测评要求 27

9.3.4 安全管理中心测评要求 27

9.3.5 安全计算环境测评要求 27

9.3.6 安全管理制度测评要求 27

9.3.7 安全管理机构测评要求 28

9.3.8 安全管理人员测评要求 28

9.3.9 安全运维管理测评要求 28

9.3.10 安全建设管理测评要求 28

9.4 分析及报告编制 29

9.5 测评报告评审 29

9.6 文档交付及归档 29

10 测评报告 29

11 实施人员要求 30

11.1 实施人员组织架构 30

11.2 测评师人员要求 31

11.2.1 安全物理环境测评师要求 31

11.2.2 安全通信网络测评师要求 31

11.2.3 安全区域边界测评师要求 32

11.2.4 安全计算环境测评师要求 33

11.2.5 安全管理中心测评是要求 34

11.2.6 安全管理制度测评师要求 35

11.2.7 安全管理机构测评师要求 36

11.2.8 安全管理人员测评师要求 37

11.2.9 安全建设管理测评师要求 37

11.2.10 安全运维管理测评师要求 38

目的

为更加规范地开展网络安全等级保护测评（以下简称“等级测评”）工作，规范测评流程，保证测评质量，依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》和GB/T28448-2019《信息安全技术网络安全等级保护测评要求》，特制订本作业指导书。目的是规范和指导测评师进行信息系统等级保护测评，明确测评方法、测评结果判定、测评流程、测评指导书制作与选取等内容。

参考依据

《信息安全技术网络安全等级保护基本要求》GB/T22239-2019

《信息安全技术网络安全等级保护测评要求》GB/T28448-2019

《金融行业网络安全等级保护实施指引》（JR/T0071—2020）

《金融行业网络安全等级保护测评指南》（JR/T0072—2020）

适用范围

适用人员：本实验室在等级保护测评项目中涉及的所有岗位。

适用范围：本实验室承担的相关等级保护测评工作（适用于等级保护2到4级的要求）的实施。

适用场所：实验室到客户现场进行等级保护测评的工作。

等级测评内容及方法

等级测评是指实验室对未涉及国家秘密的信息系统安全等级保护状况进行安全测评，评判其安全保护能力是否符合国家信息安全等级保护规定。

根据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》和GB/T