【文章內(nèi)容簡(jiǎn)介】 方面的測(cè)試。 . 測(cè)評(píng)指標(biāo) 對(duì)于二級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為 S2，系統(tǒng)服務(wù)安全等級(jí)為 A2，則該系統(tǒng) 的測(cè)評(píng)指標(biāo) 應(yīng) 包括 GB/T 222392020《信息系統(tǒng)安全保護(hù)等級(jí)基本要求》中“技術(shù)要求”部分的 2級(jí)通用指標(biāo) 類(lèi)（ G2） ， 2級(jí) 業(yè)務(wù)信息安全 指標(biāo) 類(lèi)（ S2）， 2級(jí) 系統(tǒng)服務(wù)安全指標(biāo)類(lèi)（ A2），以及第 2級(jí)“管理要求”部分中的所有指標(biāo)類(lèi)，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體如下表所示： 測(cè)評(píng)指標(biāo)（二級(jí)） 技術(shù) /管理 層面 類(lèi)數(shù)量 S類(lèi) (2級(jí) ) A類(lèi) (2級(jí) ) G類(lèi) (2級(jí) ) 小計(jì) 安全技術(shù) 物理安全 1 1 8 10 網(wǎng)絡(luò)安全 1 0 5 6 主機(jī)安全 2 1 3 6 應(yīng)用安全 4 2 1 7 數(shù)據(jù)安全 2 1 0 3 安全管理 安全管理制度 0 0 3 3 安全管理機(jī)構(gòu) 0 0 5 5 人員安全管理 0 0 5 5 系統(tǒng)建設(shè)管理 0 0 9 9 系統(tǒng)運(yùn)維管理 0 0 12 12 合計(jì) 66（類(lèi)） 第 9 頁(yè) 共 24 頁(yè) 對(duì)于三級(jí)系統(tǒng)，如業(yè)務(wù)信息安全等級(jí)為 S3，系統(tǒng)服務(wù)安全等級(jí)為 A3，則該系統(tǒng) 的測(cè)評(píng)指標(biāo) 應(yīng) 包括 GB/T 222392020《信息系統(tǒng)安全保護(hù)等級(jí)基本要求》中“技術(shù)要求”部分的 3級(jí)通用指標(biāo) 類(lèi)（ G3） ， 3級(jí) 業(yè)務(wù)信息安全 指標(biāo) 類(lèi)（ S3）， 3級(jí) 系統(tǒng)服務(wù)安全指標(biāo)類(lèi)（ A3），以及第 3級(jí)“管理要求 ”部分中的所有指標(biāo)類(lèi)，等級(jí)保護(hù)測(cè)評(píng)指標(biāo)情況具體如下表所示： 測(cè)評(píng)指標(biāo)（三級(jí)） 技術(shù) /管理 層面 類(lèi)數(shù)量 S 類(lèi) (3 級(jí) ) A 類(lèi) (3 級(jí) ) G 類(lèi) (3 級(jí) ) 小計(jì) 安全技術(shù) 物理安全 1 1 8 10 網(wǎng)絡(luò)安全 1 0 6 7 主機(jī)安全 3 1 3 7 應(yīng)用安全 5 2 2 9 數(shù)據(jù)安全 2 1 0 3 安全管理 安全管理制度 0 0 3 3 安全管理機(jī)構(gòu) 0 0 5 5 人 員安全管理 0 0 5 5 系統(tǒng)建設(shè)管理 0 0 11 11 系統(tǒng)運(yùn)維管理 0 0 13 13 合 計(jì) 73（類(lèi)） . 測(cè)評(píng)流程 等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程包括以下四個(gè)階段： 第 10 頁(yè) 共 24. 測(cè)評(píng)準(zhǔn)備階段 ? 測(cè)評(píng)項(xiàng)目組組建：明確項(xiàng)目經(jīng)理、測(cè)評(píng)人員及職責(zé)分工。 ? 項(xiàng)目計(jì)劃書(shū)編制：項(xiàng)目計(jì)劃書(shū)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。 ? 信息系統(tǒng) 調(diào)研：通過(guò)查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，明確被測(cè)系統(tǒng)的范圍（特別是信息系統(tǒng)的邊界），了解被測(cè)系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等）、管理制度等。 ? 工具和表單準(zhǔn)備：根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，準(zhǔn)備測(cè)評(píng)工具和各類(lèi)測(cè) 第 11 頁(yè) 共 24 頁(yè) 評(píng)表單。 . 方案編制階段 ? 測(cè)評(píng)對(duì)象確定：根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。 ? 測(cè)評(píng)指標(biāo)確定：根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)。 ? 測(cè)評(píng)工具接入點(diǎn)確定：確定需要進(jìn)行工具測(cè)試的測(cè)評(píng)對(duì)象，選擇測(cè)試路徑，根據(jù)測(cè)試路徑確定測(cè)試工具的接入點(diǎn)。 ? 測(cè)評(píng)內(nèi)容確定：確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。 ? 測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)：編制測(cè)評(píng)實(shí)施手冊(cè)，詳細(xì)描述現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)。 . 現(xiàn)場(chǎng)測(cè)評(píng)階段 現(xiàn)場(chǎng)測(cè)評(píng)實(shí)際上就是單項(xiàng)測(cè)評(píng)，分別從技術(shù)上的 物理 安全 、網(wǎng)絡(luò) 安全 、主機(jī)系統(tǒng) 安全 、應(yīng)用 安全 和數(shù)據(jù) 安全五個(gè)層面和管理上的 安全管理機(jī)構(gòu) 、 安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理 和 系統(tǒng)運(yùn)維管理 五個(gè)方面分別進(jìn)行。 ? 物理安 全：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的物理安全保障情況 。主要涉及 對(duì)象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物理安全層面 測(cè)評(píng) 實(shí)施過(guò)程涉及 10 個(gè)測(cè)評(píng)單元，包括：物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。 ? 網(wǎng)絡(luò)安全：通過(guò)訪人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況 。主要涉及 對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面 測(cè)評(píng) 實(shí)施過(guò)程涉及 7 個(gè)測(cè)評(píng)單元，包括：結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性 檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對(duì)三級(jí)系統(tǒng)）。 ? 主機(jī)安全： 通過(guò)人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的主機(jī)安全保障情況 。主要涉及 對(duì)象為各類(lèi)服務(wù)器的操作系統(tǒng)、數(shù)據(jù) 第 12 頁(yè) 共 24 頁(yè) 庫(kù)管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面 測(cè)評(píng) 實(shí)施過(guò)程涉及 7 個(gè)測(cè)評(píng)單元，包括：身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）。 ? 應(yīng)用安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式測(cè)評(píng)信息系統(tǒng)的應(yīng)用安全保障情況， 主要涉及 對(duì)象為各類(lèi)應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面 測(cè)評(píng) 實(shí)施過(guò)程涉及 9 個(gè)測(cè)評(píng)單元， 包括：身份鑒別、訪問(wèn)控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）、抗抵賴(lài)（針對(duì)三級(jí)系統(tǒng)）。 ? 數(shù)據(jù)安全：通過(guò)人員訪談、配置檢查的方式測(cè)評(píng)信息系統(tǒng)的數(shù)據(jù)安全保障情況，主要涉及對(duì)象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，數(shù)據(jù)安全層面測(cè)評(píng)實(shí)施過(guò)程涉及 3 個(gè)測(cè)評(píng)單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。 ? 安全管理制度：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式測(cè)評(píng)信息系統(tǒng)的安全管理制度情況 。 在內(nèi)容上，安全管理制度方面測(cè)評(píng)實(shí)施過(guò)程涉及 3 個(gè)測(cè)評(píng)單元，包括：管理制度、制定和發(fā) 布、評(píng)審和修訂。 ? 安全管理機(jī)構(gòu)：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的安全管理機(jī)構(gòu)情況 。 在內(nèi)容上，安全管理機(jī)構(gòu)方面測(cè)評(píng)實(shí)施過(guò)程涉及 5 個(gè)測(cè)評(píng)單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。 ? 人員安全管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的人員安全管理情況 。 在內(nèi)容上，人員安全管理方面測(cè)評(píng)實(shí)施過(guò)程涉及 5 個(gè)測(cè)評(píng)單元，包括：人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)管理。 ? 系統(tǒng)建設(shè)管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的系統(tǒng)建設(shè)管理情況 。 在內(nèi)容上，系統(tǒng)建設(shè)管 理方面測(cè)評(píng)實(shí)施過(guò)程涉及 11 個(gè)測(cè)評(píng)單元，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)備案（針對(duì)三級(jí)系統(tǒng)）、系統(tǒng)測(cè)評(píng)（針對(duì)三級(jí)系 第 13 頁(yè) 共 24 頁(yè) 統(tǒng)）。 ? 系統(tǒng)運(yùn)維管理：通過(guò)人員訪談、文檔審查的方式測(cè)評(píng)信息系統(tǒng)的系統(tǒng)運(yùn)維管理情況 。 在內(nèi)容上，系統(tǒng)運(yùn)維管理方面測(cè)評(píng)實(shí)施過(guò)程涉及 13 個(gè)測(cè)評(píng)單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安全管理中心（針對(duì)三級(jí)系統(tǒng)）。 . 分析與報(bào)告編制階段 ? 單項(xiàng)測(cè)評(píng)結(jié)果分析：針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng)，結(jié)合具體測(cè)評(píng)對(duì)象，客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù)。 ? 單元測(cè)評(píng)結(jié)果判定：將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。 ? 整體測(cè)評(píng)：針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。 ? 風(fēng)險(xiǎn)分析：據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題可能 對(duì)被測(cè)系統(tǒng)安全造成的影響。 ? 等級(jí)測(cè)評(píng)結(jié)論形成：在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。 ? 測(cè)評(píng)報(bào)告編制：根據(jù)等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)報(bào)告，包括概述、被測(cè)