【文章內容簡介】 部分 單項測評實施內容及系統(tǒng)測評實施內容 測評實施手冊開發(fā) 測評方案的測評實施手冊部分 各測評對象的測評內容及方法 測評方案編制 測評方案文本 項目概述、測評對象、測評指標、測試工具接入點、單項測評實施和系統(tǒng)測評實施內容、測評實施手冊等 3) 現場測評活動階段 任務 輸出文檔 文檔內容 現場測評準備 會議記錄 、確認 的授權委托書、更新后的測評計劃 和測評程序 工作計劃和內容安排，雙方人員的協(xié)調，被測單位應提供的配合 訪談 技術安全 和管理安全測評的測評結果記錄或錄音 訪談結果 12 文檔審查 管理安全測評的測評結果記錄 管理制度和管理執(zhí)行過程文檔 的符合情況 配置檢查 技術安全 測評的網絡、主機、應用測評結果記錄表格 檢查內容的結果 實地察看 技術安全 測評的物理安全和管理安全測評結果記錄 檢查內容的結果 測評結果確認 現場核查中發(fā)現的問題匯總、證據和證據源記錄、被測單位的書面認可文件 測評活動中發(fā)現的問題、問題的證據和證據 源、每項檢查活動中被測單位配合人員的書面認可 4) 分析與報告編制活動階段 任務 輸出文檔 文檔內容 單項測評結果判定 等級測評報告的單項測評結果部分 分析被測系統(tǒng)的安全現狀（各個層面的基本安全狀況）與標準中相應等級的基本要求的符合情況，給出單項測評結果 單項測評結果匯總分析 等級測評報告的單項測評結果匯總 分析部分 匯總統(tǒng)計分析單項測評結果 系統(tǒng)整體測評分析 等級測評報告的系統(tǒng)整體測評分析 部分 分析系統(tǒng)整體安全狀況及對單項測評結果的修訂情況 綜合測評結論形成 等級測評報告的等級測評結論部分 對各項結果進 行分析，形成測評結論 測評報告編制 等級測評報告 單項測評記錄和結果，單項測評結果匯總分析，系統(tǒng)整體測評結果及分析，等級測評結論，改進建議等 13 4. 項目組織方案 項目組織結構 項目管理組： 負責人為雙方項目負責人，負責整個項目的工作進展、時間、人員的安排及雙方的協(xié)調工作。 管理測評組 ：負責管理方面的測評工作，包括：機構管理、人員管理、制度管理、建設管理、運維管理。 技術測評組 ：對物理、網絡安全方面的進行測評，并做好現場記錄，負責測評報告的編寫等。 質量監(jiān)督組： 負責對整個項目的質量監(jiān)督，包括方案、計劃、報告等評審工作，針對測評工作中的異議問題進行核查解決。 業(yè)務專項配合組： 由被測評單位組織，針對被測系統(tǒng)情況給予說明和配合。 項目管理組 技術測評組 管理測評組 業(yè)務專項配合組 質量管理組 14 人員構成和職責 組別 分工 姓名 職責 對方配合人員 項目管理組 項目 經理 商務經理 項目助理 質量管理組 組長 組員 組員 組員 管理測評組 組長 組員 技術測評組 組長 組員 組員 組員 組員 組員 組員 業(yè)務專項配合組 組長 待 定 組員 待 定 15 項目實施計劃 階段 工作內容 時間計劃 對方配合內容 階段輸出 項目準備 起草項目計劃 xxx個工作日 項目計劃書 評審論證 項目計劃分解 評審論證 系統(tǒng)調查 準備調查表 xxx個工作日 信息系統(tǒng)調查表 收集調查結果 調查材料分析整理 測評準備 制定核查方案 xxx個工作日 測評方案 評審論證 制定測試方案 評審論證 準備測試工具 模擬環(huán)境測試 現場測評 準備委托書等現場文檔 xxx個工作日 現場測評授權委托書、測試計劃、測試報告 測試方案調整和確認 制定核查計劃 現場核查 記錄核查結果 制定測試計劃 現場測試 記錄測試結果 方案編制 核查材料整理 xxx個工作日 等級測評報告 測試材料整理 撰寫測評報告 評審論證 總結整個工作過程 16 5. 項目質量管理和控制 過程質量控制管理 過程質量管理 風險 等級測評項目的質量是整個測評工作的核心，如測評質量沒有保障，整個測評工作的意義就無從談起。在質量管理方面，主要從以下幾點進行說明： 1) 測評準備階段 本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，為實施測評做好文檔及測試工具等方面的準備。 2) 方案編制階段 本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是開發(fā)與被測信息系統(tǒng)相適應的測評內容、測評實施手 冊等，形成測評方案。 3) 現場測評階段 本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執(zhí)行測評實施手冊，分步實施所有測評項目，包括單項測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據，發(fā)現系統(tǒng)存在的安全問題。 4) 分析與報告編制階段 本活動是給出等級測評工作結果的活動，是總結被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息系統(tǒng)安全等級保護測評要求》的有關要求，通過單項測評結果判定和系統(tǒng)整體測評分析等方法，分析整個系統(tǒng)的安全保護現 狀與相應等級的保護要求之間的差距，綜合評價被測信息系統(tǒng)保護狀況，并形成測評報告文本。 過程質量風險控制 1) 測評準備階段 17 a) 未填寫《測評任務流程卡》的風險 項目流程卡是在進行測評活動之前對整個測評活動的流程進行一個大體的描述，從中可以對被測單位的基本資料進行了解，包括：被測系統(tǒng)總體描述文件，被測系統(tǒng)詳細描述文件，被測系統(tǒng)安全保護等級定級報告，系統(tǒng)驗收報告，安全需求分析報告，被測系統(tǒng)安全總體方案等。另外也能初步了解被測單位的信息化建設狀況與發(fā)展，被測系統(tǒng)，包括被測系統(tǒng)的行業(yè)特征、主管機構、業(yè)務范圍、地理位置、體系結 構、主要功能等被測系統(tǒng)基本情況，獲得被測系統(tǒng)的背景信息和聯(lián)絡方式等。測評人員還能從中得知整個測評工作的任務，在什么階段、什么時間、什么地點應該做什么樣的測評任務。 風險點 ： 未填寫《測評任務流程卡》將造成不夠了解被測單位的基本信息系統(tǒng)，對信息系統(tǒng)測評不全面，測評范圍不明確，甚至造成誤操作，從而使測評數據不準確，更可能會造成測評結果與想要得到的完全不符，影響整個測評工作的進展，耗費了人力、物力、財力、給公司造成不必要的損失。 還可能造成對測評任務不了解，不知道如何進展，或進展工作混亂，可能會使一部分系統(tǒng)沒有測評 到，或在規(guī)定的時間內不能完成指定的任務，是整個測評工期延長，影響測評任務。這些情況都會影響到測評結果，跟定級內容不相符，造成無法定級，影響被側單位，也會損害到公司的榮譽。 控制方法： 在進行測評之前要認真填寫好《測評任務流程卡》，組建測評項目組，從資料、人員、計劃安排等方面為整個等級測評項目的實施做好準備，熟悉被測單位信息系統(tǒng)的基本信息，并編制項目計劃書。項目計劃書應包含項目概述、工作依據、技術思路、工作內容和項目組織等了解整個測評任務，把握好測評工作的進展。 b) 使用的測評工具沒有校準 測評工具是在對被側單位信 息系統(tǒng)、設備等進行測試其是否能正常使用的一種工具。在測試的廣度上，應基本覆蓋不同類型的機制，在數量、范圍上可以抽樣；在測試的深度上，應執(zhí)行功能測試和滲透測試，功能測試可能涉及機制的功能規(guī)范、高級設計和操作規(guī)程等文檔，滲透測試可能涉及機制的所有可用文檔，并試圖智取進入信息系統(tǒng)等。，對其進行測評，應涉及到漏洞掃描工具、滲透測評工具集和協(xié)議分析工具等多種測試工具。 風險點： 如果沒有進行測評工具的校準，或者測評工具準備不齊，測評結果將 18 無法真實，全面反映出來，致使有些系統(tǒng)無法進行測評，不能全面了解到系統(tǒng)的情況和系統(tǒng)存在的潛在問題，造成一定的安全隱患。如果測評工具出現故障，會使整個測評工作受到影響，使正常的工作無法進行，不能對系統(tǒng)進行測試，影響測評進度，可能會對系統(tǒng)的負載、服務器和網絡通訊造成一定影響甚至傷害。 控制方法： 在進行測評之前應對測評工具進行校準，確保其正常運行，根據測評活動確定所需要準備的測評工具，按照測評工具清單進行清點，確保所要用到的測評工具已經準備齊全，另外準備部 分備用工具作為備用。 c) 沒有項目計劃 項目計劃是對整個測評工作進行項目描述、工作流程、技術思路、工作內容和項目組織，時間控制等控制，保證項目能夠按期順利的完成。 風險點 :如果沒有制作項目計劃，會導致后期項目任務不明確、管理無序、失控，工作不能按期完成。 控制方法： 在進行測評工作之前，做好項目計劃，對每個測評人員明確分功。 2) 方案編制階段 a) 測評指標選取不準確 測評指標是在被測系統(tǒng)基本情況分析后，得出被測系統(tǒng)的定級結果，包括業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級。從 GB/T 222392021《信息系統(tǒng)安全等級保護基本要求》中選擇相應等級的安全，包括對 ASG 三類安全要求的選擇。 風險點： 如果測評指標選取不明確，會造成錯誤定級，按照錯誤的等級進行測評工作，使用錯誤的測評方法，將造成測評結果偏離，例如：某單位系統(tǒng)服務安全保護等級為 2 級；則該系統(tǒng)的測評指標將包括 GB/T 222392021《信息系統(tǒng)安全等級保護基本要求》 “ 技術要求 ” 中的 2 級通用指標類（ G2）， 2 級業(yè)務信息安全指標類（ S2）， 2 級系統(tǒng)服務安全指標類（ A2），以及第 2 級 “ 管理要求 ” 中的所有指標類。如果指標錯誤，會影響到后期的所有工作，耗費了各方面的資源 ，使項目不能按期順利完成，同時也給公司帶來巨大的損失。 控制方法： 通過召開評審會，詳細分析被測單位的信息系統(tǒng)，對被測單位做好準確定級，明確測評指標，順利做好測評工作。 b) 項目組每個成員包括工具測試人員開發(fā)測評實施手冊時對測評方法選取不當 測評實施手冊是具體指導測評人員如何進行測評活動的文件，是現場測評的工 19 具、方法和操作步驟等的詳細描述，是保證測評活動可以重現的根本。因此，測評實施手冊應當盡可能詳盡、充分。 風險點： 如果測評實施手冊不使用，會直接導致測評工作的錯誤進行，包括測評項（每個測評項可能對應多個測評方法 ）、測評方法（訪談、文檔審查、配置檢查、工具測試和實地察看等多種方法）、操作步驟和預期結果等。這樣所做的整個過程都將是一個錯誤的過程，所做的工作也就沒有應用價值，會延長工期，會造成違約賠償問題，在人員、財力、時間的浪費上都無法彌補，也會影響到公司的榮譽。 控制方法： 具體做法就是把各層面上的測評指標結合到具體測評對象上，并說明具體的測評方法，如此構成一個個可以具體測評實施的單元。參照《信息系統(tǒng)安全等級保護測評要求》，結合已選定的測評指標和測評對象，概要說明現場測評實施的工作內容來編制測評實施手冊，完成之后，對 其進行評審，通過以后，由總工、技術負責人簽字確認。 c) 測評實施工期時間測算不準確 測評實施工期是對整個項目進行的一個時間控制，這樣便于把握整個項目的進展。 風險點： 測評實施工期不準，使整個項目的工期延后，測評質量下降，影響后續(xù)項目的開展。 控制方法： 召開評審會，由專家選取項目實施工期。 d) 測評現場人員分工計劃不合理 風險點： 專業(yè)技術人員分配不合理，會造成對測評的測評不夠全面、深入，不能得到完整要的數據，不能站在合適的技術人員的角度去測評系統(tǒng)。另外，現場測評人員分工不合理，影響項目的進展，人員太多造成現場混亂，現 場測評時間浪費，工作質量下降，人員太少會使測評任務無法按期完成。 控制方法： 通過評審會，對項目進行分析，合理的安排測評人員。 e) 測評方案沒有評審 測評方案是等級測評工作實施的基礎，指導等級測評工作的現場實施活動。測評方案應包括但不局限于以下內容：項目概述、測評對象、測評指標、測評工具的接入點、單項測評實施、系統(tǒng)測評實施以及配套的測評實施手冊等。 風險點： 測評方案沒有經過評審就投入使用，其中有些信息可能不準確、不全面或者是錯誤的，如果按照這樣的測評方案進行，就會造成誤操作，效率降低，測 20 評結果也會有偏差，將不能得 到準確可靠的數據。 控制方法： 召開方案評審會，詳細分析被測系統(tǒng)的整體結構、邊界、