第一篇:广东省信息安全等级测评机构管理办法
广东省信息安全等级测评机构管理办法
(试行)
第一条
为规范信息安全等级测评机构管理,提高信息安全保障能力和水平,保障和促进信息化建设,根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定,制定本办法。
第二条
本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。
第三条
信息安全等级测评应当坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。
第四条
第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构(简称测评机构)承担:
(一)在中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上;
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)近3年完成的测评项目总值150万元以上;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录;
(六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录;
(七)具有与所承担项目适应的技术装备;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁。
第五条
我省对测评机构实施备案制度。符合第四条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。
第六条
信息安全等级测评机构申请备案,应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料:
(一)备案申请书;
(二)营业执照复印件;
(三)管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明;
(四)技术装备情况及组织管理制度报告。第七条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,发给备案证书。不符合条件的,作出不予备案的决定并说明理由。
承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。
第八条
省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。
第九条
备案证书分为正本和副本,正本和副本具有同等效力。
第十条
备案证书实行年检制度。年检时间为每年2月至3月,新领备案证书未满半年的不需年检。
第十二条
信息安全等级测评机构参加年检,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)备案证书年检申请书;
(二)备案证书副本;
(三)其他材料。
第十三条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。
持国家工商行政管理总局或省工商行政管理局核发的营业执照的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出年检结论。
第十四条
年检结论分为合格、取消两种。
具备下列情形的,年审结论为合格:
(一)遵守国家有关法律法规和本省有关规定;
(二)上年度完成的测评项目总值不低于50万元;
(三)符合备案条件。
有下列情形之一的,年检结论为取消:
(一)违反国家有关法律法规和本省有关规定,情节严重;
(二)上年度完成的测评项目总值低于50万元;
(三)情况发生变更,达不到备案条件。
年检合格的,在备案证书副本和年检申请书上注明,加盖省公安厅公共信息网络安全监察专用章。
年检结论为取消的,备案证书作废,信息安全等级测评机构应当自接到年检结论之日起10日内交回备案证书。
未按时参加年检的,年审结论视为取消。
因特殊原因未年检的,应当书面说明理由,经批准,方可补办相关手续。
第十五条
备案证书登记事项发生变更的,应在30日内到地级以上市公安机关公共信息网络安全监察部门办理变更手续。
第十六条
信息安全等级测评机构应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第十七条
公安机关公共信息网络安全监察部门对信息安全等级测评机构进行监督、检查和指导。第十八条
信息安全等级测评机构有下列行为之一的,由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。对已办理备案的,收回备案证书。触犯有关法律、法规和规章的,依法追究法律责任。
(一)伪造、冒用信息安全等级测评机构备案证书的;
(二)转让、转借信息安全等级测评机构备案证书的;
(三)出具虚假、失实的信息安全等级测评结论的;
(四)泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的;
(五)违反法律、法规、规章等规定的其他行为。
第十九条
本办法自印发之日起施行。
第二篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
第三篇:信息安全等级测评机构能力要求(试行)
信息安全等级保护测评体系建设与测评工作规范性文件
信息安全等级测评机构能力
要求
(试行)
Competence for operation of bodies performing testing and evaluation of classified protection of information system security
200×-××-×× 发布 200×-××-×× 实施
公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求
目录 2 3 4 5 6 7 8 9 范围......................................................................3 名词解释..................................................................3 基本条件..................................................................3 组织管理能力..............................................................4 测评实施能力..............................................................5 设施和设备安全与保障能力...................................................7 质量管理能力..............................................................8 规范性保证能力............................................................8 风险控制能力.............................................................10 可持续性发展能力.........................................................10 11 测评机构能力约束性要求...................................................11 信息安全等级测评机构能力要求
前言
公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求
信息安全等级测评机构能力要求 范围
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。名词解释
2.1 等级测评
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。2.2 等级测评机构
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。基本条件
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立(港澳台地区除外);
b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); c)产权关系明晰,注册资金100万元以上;
d)从事信息系统检测评估相关工作两年以上,无违法记录;
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; i)对国家安全、社会秩序、公共利益不构成威胁;j)应当具备的其他条件。信息安全等级测评机构能力要求 组织管理能力
4.1 测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
4.2 测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。
4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。其中测评技术人员不少于10人。
4.4 测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。
4.5 测评机构应制定完善的规章制度,包括但不限于以下内容: a)保密管理制度
制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。b)项目管理制度
测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
信息安全等级测评机构能力要求 测评实施能力
5.1 人员能力
5.1.1 测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
5.1.2 测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。
5.1.3 初级、中级和高级等级测评师具体能力要求如下: a)初级等级测评师
了解信息安全等级保护的相关政策、标准; 熟悉信息安全基础知识;
熟悉信息安全产品分类,了解其功能、特点和操作方法;
掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;
掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据; 能够按照报告编制要求整理测评数据。b)中级等级测评师
熟悉信息安全等级保护相关政策、法规; 熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程; 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评信息安全等级测评机构能力要求
方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力; 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。c)高级等级测评师
熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展; 对信息安全等级保护标准体系及主要标准有较为深入的理解; 具有信息安全理论研究的基础、实践经验和研究创新能力;
具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;
熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
5.1.4 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,其比例应满足等级测评工作需要。
5.1.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。5.2 测评能力
5.2.1 测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测评估相关工作两年以上的工作经验。
5.2.2 测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b)安全管理测评实施能力,包括安全管理机构测评、安全管理制度测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力; d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部
信息安全等级测评机构能力要求
分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力; 5.2.3 测评机构应有完备的测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
符合相关的等级测评标准;
提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;
d)报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》的格式和内容要求编写,测评报告应通过评审并有相关记录。设施和设备安全与保障能力
6.1 测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权; 信息安全等级测评机构能力要求
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能; e)对国家安全、社会秩序、公共利益不构成危害。
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
6.2 测评机构应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告(见附录《信息安全等级测评设备和工具指引》)。
6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。
6.4 测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
6.5 测评设备和工具均应有正确的标识。质量管理能力
7.1 管理体系建设
7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。
7.1.2测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。7.1.3测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。7.2 管理体系维护
7.2.1测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,确保其有效性。
7.2.2
测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。规范性保证能力
8.1 公正性保证能力
8.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
信息安全等级测评机构能力要求
8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。
8.2 可信与保密性保证能力
8.2.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
8.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。8.2.3 测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。
8.2.5测评机构应重视安全保密工作,指派安全保密工作的责任人。
8.2.6 测评机构应根据国家有关保密规定制定保密管理制度,并定期对工作人员进行保密教育,测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
8.2.7
测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。
8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于: a)被测评单位提供的资料;
b)等级测评活动生成的数据和记录; c)依据上述信息做出的分析与专业判断。
8.2.9 测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。8.3 测评方法与程序的规范性
测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。8.4 测评记录的规范性
a)测评记录应当清晰规范,并获得被测评方的书面确认; 信息安全等级测评机构能力要求
b)测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。8.5 测评报告的规范性
a)测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告;
b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;
c)测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
d)能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条,对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。风险控制能力
9.1 测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方面:
a)测评机构由于自身能力或资源不足造成的风险;
b)测试验证活动可能对被测系统正常运行造成影响的风险; c)测试设备和工具接入可能对被测系统正常运行造成影响的风险;
d)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。
9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。可持续性发展能力
10.1 测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。
10.2 测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、远期目标(如获得相应管理体系资质认可),通过目标的实现,逐步提升质量管理能力。10.3 测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。
10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。
信息安全等级测评机构能力要求 测评机构能力约束性要求
测评机构不得从事下列活动:
a)影响被测评信息系统正常运行,危害被测评信息系统安全; b)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;
c)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
d)未按规定格式出具等级测评报告;
e)非授权占有、使用等级测评相关资料及数据文件; f)分包或转包等级测评项目;
g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成; h)限定被测评单位购买、使用其指定的信息安全产品;
i)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第四篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第五篇:信息安全等级合规测评
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构,山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。
3、塞班斯法案 针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作《2002年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监察局颁发的许可证书。
办理依据:
(1)《中华人民共和国计算机信息系统安全保护条例》、(1994年2月18日,国务院令147号发布)。
(2)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(1997年12月1日,公安部令第32号)。
(3)、《计算机病毒防治管理办法》(2000年4月26日,公安部令第51号)。审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
为推动商用密码发展,确保国家重要信息系统密码安全,具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》,对信息安全等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护和分级保护以其涉及范围广,实施具有高度专业化和复杂性的特点,成为信息安全合规测评工作的重点和难点,后面的文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们知道,信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念,二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践,对等级保护和分级保护进行详细介绍,理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
2、涉密信息系统分级保护
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(山东省软件评测中心是山东省内唯一的涉密信息系统检测机构),确定在技术层面是否达到了涉密信息系统分级保护的要求。
3、等级保护和分级保护之间的关系
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;国防工业企业、科研等单位的信息系统等。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。
国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
三、等级合规测评的主要内容
1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系统中的实施配置情况。
2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等,是在单元测评基础上进行的进一步测评分析。
四、等级合规测评的重要作用
1、等级合规测评是落实信息安全等级保护制度的重要环节
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始,等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求和文件精神。
2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料
等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
3、等级测评使整个组织规范一致的开展等级评定工作
合规测评基于客户的组织架构、运作模式等特点,制定信息系统安全保护等级定级指南,明确在组织内开展等级评定工作的原则、方法和流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
4、确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求,基于信息系统安全等级保护基本要求,合规测评可使客户在符合国家法律法规要求的前提下,针对不同等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护,节省IT投资。
5、等级测评提高内部人员的信息安全意识
合规测评过程中,第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流,以及精心设计的调查问卷等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识,强化信息安全意识,杜绝违规操作。
作为第三方测评机构,山东省软件评测中心认为,通过等级合规测评可指导用户在各个层面上综合采取多种保护措施,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。
五、等级合规测评的操作流程 要充分发挥等级测评对信息安全的保障作用,就要按照科学的流程和方法进行操作。山东省软件评测中心根据等级测评的相关要求将等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体过程如下:
1、测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
2、方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
3、现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4、分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
等级测评项目启动测评准备活动信息收集与分析工具和表单准备测评对象确定测评指标确定方案编制活动测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动测评实施准备现场测评和记录结果结果确认和资料归还单项测评结果判定分析与报告编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制沟通与洽谈
六、等级合规测评的关键点
确定了等级测评的具体流程,是为开展测评工作奠定了坚实基础,但是还要关注在具体环节上关键要素,它们对测评工作的成效高低具有重大影响。
1、等级测评的方法和强度
等级测评的基本方法一般包括访谈、检查和测试等三种。
访谈是测评人员通过与被测评单位的相关人员进行交谈和问询,了解被测信息系统安全技术和安全管理方面的相关信息,以对测评内容进行确认。
检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法,包括:评审、核查、审查、观察、研究和分析等方法。
测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法,包括功能测试、性能测试、渗透测试等。
等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度,广度体现在访谈人员的构成和数量上;检查的深度体现在检查过程的严格和详细程度,广度体现在检查对象的种类(文档、机制等)和数量上;测试的深度体现在执行的测试类型上(功能/性能测试和渗透测试),广度体现在测试使用的机制种类和数量上。
2、等级测评对象
测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。
七、等级合规测评的指标
开展等级测评活动应从《信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的安全要求作为基本测评指标。
1、第二级信息系统等级测评指标,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求(177个控制点)作为基础测评指标以外,还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
2、第三级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求(290个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
3、第四级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求(317个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
4、对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的测评指标应采用就高原则。
八、高效等级测评工作的注意事项
为了保障等级测评取得真正的成效,在测评之前,需要认真筹备;测评过程中依照相关规定,强化管理。同时,在测评操作过程中还应该严格遵循等级测评的相关原则。以上经验,都已经在山东省软件测评中心的实践中得到验证,成效显著。
1、认真做好等级测评质量保障工作
等级测评机构开展测评前应与委托单位联合成立等级测评工作组,建立通畅的沟通联络机制,确保等级测评活动的顺利开展。
等级测评机构开展等级测评时,必须保证足够的现场测评等级测评师。开展第二级信息系统的等级测评活动时,测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动;开展第三级信息系统的等级测评活动时,测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动;开展第四级信息系统的等级测评活动时,测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。
等级测评机构开展等级测评时,应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。
等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程,一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程,一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程,一般不少于20个工作日。
等级测评活动中,测评机构需要提交给委托方的资料不少于以下纸质文档:项目计划书、公正性声明、保密协议、等级测评方案、现场测评记录、等级测评报告、安全建设整改意见
2、严格等级测评管理
信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构,按照《信息系统安全等级保护测评要求》等技术标准,定期对信息系统的安全状况开展等级测评。
第三级信息系统应每年进行一次等级测评,第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时,应及时安排等级测评。等级测评活动结束后,测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告,并应同时向省、市两级等保办提交第三级(含)以上信息系统的等级测评报告。被测评信息系统安全状况未达到信息安全等级保护制度要求的,由等级测评机构提出安全建设整改意见,运营、使用单位应当及时制定方案进行整改。
省内信息系统的等级测评工作原则上由省内等级测评机构完成,特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时,应在省等保办办理登记备案手续,按照本规范开展等级测评活动,并接受省等保办的监督管理。测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持,但不得从事下列活动:
(1)、影响被测评信息系统正常运行,危害被测评信息系统安全;(2)、泄露被测评单位及被测信息系统的敏感信息和工作秘密;
(3)、故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(4)、未按规定格式出具等级测评报告;
(5)、非授权占有、使用等级测评活动中的获得的相关资料及数据文件;(6)、分包或转包等级测评项目;
(7)、从事信息安全产品开发、销售和信息系统安全集成;(8)、限定被测评单位购买、使用其指定的信息安全产品;
(9)、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
九、等级合规测评中应当严格遵循的五个原则
1、客观公正原则。测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2、充分性原则。为客观反映被测评信息系统的安全状况,测评活动要保证必需的广度和深度,以满足国家标准和行业标准的测评指标的要求。
3、经济性原则。测评活动应尽可能降低成本,减少投入。基于测评成本和工作复杂性,鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果,包括商业安全产品测评结果和信息系统已有的安全测评结果。
4、结果一致性原则。针对同一信息系统的等级测评,不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致,同一测评机构重复执行相同测评过程得出的结果应当一致。
5、安全性原则。测评机构和测评人员在测评活动中,应当履行安全保密义务,承担相应的法律责任,确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。
点击咨询 