山东省信息安全等级保护测评工作规范.doc

山东省信息安全等级保护测评工作规范（试行）（2012年3月7日）第一章 总 则第一条 为加强全省信息安全等级保护测评工作（以下简称“等级测评”）的监督管理，规范各等级测评机构的等级测评活动，保障等级测评工作的客观、公正，根据信息安全等级保护管理办法、信息系统安全保护等级测评要求、信息系统等级保护测评工作管理办法等有关规定，制订本规范。第二条 等级测评工作，是指经国家级主管部门推荐的专业等级测评机构，依据国家信息安全等级保护制度的规定，按照有关管理规范和技术标准，对非涉及国家秘密的信息系统进行安全等级保护状况检测评估的活动。第三条 本规范适用于所有等级测评机构在山东省范围内开展的等级测评活动。第二章 等级测评原则 第四条 客观公正原则。测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。 第五条 充分性原则。为客观反映被测评信息系统的安全状况，测评活动要保证必需的广度和深度，以满足国家标准和行业标准的测评指标的要求。第六条 经济性原则。测评活动应尽可能降低成本，减少投入。基于测评成本和工作复杂性，鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果，包括商业安全产品测评结果和信息系统已有的安全测评结果。第七条 结果一致性原则。针对同一信息系统的等级测评，不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致，同一测评机构重复执行相同测评过程得出的结果应当一致。第八条 安全性原则。测评机构和测评人员在测评活动中，应当履行安全保密义务，承担相应的法律责任，确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。第三章 等级测评主要内容 第九条 单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评信息系统安全等级保护基本要求（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况。 第十条 整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等，是在单元测评基础上进行的进一步测评分析。安全控制间的测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。测评信息系统整体结构的安全性，主要是指从信息安全的角度，分析信息系统的物理布局、网络结构和业务逻辑等在整体结构上是否合理、简单、安全有效。测评信息系统整体安全防范的合理性，主要是指从系统的角度，分析研究信息系统安全防范在整体上是否遵循纵深防御的思路，明晰系统边界，确定重点保护对象，在适当的位置部署恰当的安全技术和安全管理措施等。 第四章 等级测评的方法和强度 第十一条 等级测评的基本方法一般包括访谈、检查和测试等三种。访谈是测评人员通过与被测评单位的相关人员进行交谈和问询，了解被测信息系统安全技术和安全管理方面的相关信息，以对测评内容进行确认。检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法，包括：评审、核查、审查、观察、研究和分析等方法。测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法，包括功能测试、性能测试、渗透测试等。 第十二条 等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度，广度体现在访谈人员的构成和数量上；检查的深度体现在检查过程的严格和详细程度，广度体现在检查对象的种类（文档、机制等）和数量上；测试的深度体现在执行的测试类型上（功能/性能测试和渗透测试），广度体现在测试使用的机制种类和数量上。第十三条 第二级、第三级、第四级信息系统的等级测评方法的确定，主要依照信息系统安全等级保护测评要求、信息系统安全等级保护测评过程指南以及行业有关技术标准规定的方法进行。第5章 等级测评对象第十四条 测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。 第十五条 测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。 第十六条 第二级信息系统的等级测评，测评对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：（一）主机房（包括其环境、设备和设施等），辅机房中放置的服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施；（二）存储被测系统重要数据介质的存放环境；（三）整个系统的网络拓扑结构；（四）安全设备，包括防火墙、入侵检测设备、防病毒网关等；（五）边界网络设备（包含安全设备），包括路由器、防火墙和认证网关等；（六）对整个信息系统或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等；（七）承载被测系统核心或重要业务、数据的服务器（包括其操作系统和数据库）；（八）重要管理终端；（九）能够代表被测系统主要使命的业务应用系统；（十）信息安全主管人员、相关方面的负责人员；（十一）涉及信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器，每类应至少抽查两台作为测评对象。 第十七条 第三级信息系统的等级测评，要求测评对象种类上基本覆盖、数量上进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：（一）主机房（包括其环境、设备和设施等）和部分辅机房，应将放置服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；（二）存储被测系统重要数据介质的存放环境；（三）办公场地；（四）整个系统的网络拓扑结构；（五）安全设备，包括防火墙、入侵检测设备和防病毒网关等； （六）边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；（七）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；（八）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；（九） 管理终端和主要业务应用系统终端；（十）能够完成被测系统不同业务使命的业务应用系统；（十一）业务备份系统；（十二）信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；（十三）涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。 第十八条 第四级信息系统的等级测评，要求测评对象种类上完全覆盖、数量上进行抽样，重点抽查不同种类的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面： （一）主机房和全部辅机房（包括其环境、设备和设施等）； （二）介质的存放环境； （三）办公场地； （四）整个系统的网络拓扑结构； （五）安全设备，包括防火墙、入侵检测设备和防病毒网关等； （六）边界网络设备（包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等； （七）主要网络互联设备，包括核心和汇聚层交换机； （八）主要服务器（包括其操作系统和数据库）； （九）管理终端和主要业务应用系统终端； （十）全部应用系统； （十一）业务备份系统； （十二）信息安全主管人员、有关方面的负责人员、具体负责安全管理的当事人、业务负责人； （十三）涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查三台作为测评对象。 第六章 等级测评指标 第十九条 等级测评机构应从信息系统安全等级保护基本要求（GB/T 22239-2008）中选择相应等级的安全要求作为基本测评指标。 第二十条 第二级信息系统等级测评指标，除按照信息系统安全等级保护基本要求所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求（177个控制点）作为基础测评指标以外，还应参照信息系统通用技术要求中的83个控制点、信息系统安全管理要求中的70个控制点、信息系统安全工程管理要求中的51个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。 第二十一条 第三级信息系统等级测评指标确定，除按照信息系统安全等级保护基本要求所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求（290个控制点）作为测评指标以外，还应参照信息系统通用技术要求中的109个控制点、信息系统安全管理要求中的104个控制点、信息系统安全工程管理要求中的42个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。 第二十二条 第四级信息系统等级测评指标确定，除按照信息系统安全等级保护基本要求所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求（317个控制点）作为测评指标以外，还应参照信息系统通用技术要求中的120个控制点、信息系统安全管理要求中的104个控制点、信息系统安全工程管理要求中的35个控制点以及行业测评标准所规定的其他控制点，结合不同的定级结果组合情况进行确定。 第二十三条 对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的测评指标应采用就高原则。第七章 等级测评质量保障第二十四条 等级测评机构开展测评前应与委托单位联合成立等级测评工作组，建立通畅的沟通联络机制，确保等级测评活动的顺利开展。第二十五条 等级测评机构开展等级测评时，必须保证足够的现场测评等级测评师。 开展第二级信息系统的等级测评活动时，测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动。开展第三级信息系统的等级测评活动时，测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动。 开展第四级信息系统的等级测评活动时，测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。第二十六条 等级测评机构开展等级测评时，应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。 第二十七条 等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程，一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程，一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程，一般不少于20个工作日。第二十八条 等级测评活动中，测评机构需要提交给委托方的资料不少于以下纸质文档：（1） 项目计划书（2） 公正性声明（3） 保密协议（4） 等级测评方案（5） 现场测评记录（6） 等级测评报告（7） 安全建设整改意见第八章 等级测评经费第二十九条 等级测评经费是各信息系统营运、使用单位开展等级测评工作的基本保障，也是等级测评机构依照等级保护有关技术标准进行测评活动发生的必要费用。信息系统的等级测评经费预算，要在充分保障相应等级测评深度和广度的基础上，根据不同等级信息系统不同测评对象、不同测评指标中的基本安全控制点进行综合计算。在国家正式出台等级测评经费预算办法之前，参照省内外相关行业收费标准，等级测评经费预算暂时按每个安全控制点300元人民币计算。 第九章 等级测评管理第三十条 省、市级信息安全等级保护工作协调小组办公室（以下简称等保办）负责辖区内等级测评工作的指导、监督、检查和考核。 第三十一条 信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构，按照信息系统安全等级保护测评要求等技术标准，定期对信息系统的安全状况开展等级测评。 第三级信息系统应每年进行一次等级测评，第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时，应及时安排等级测评。第三十二条 等级测评活动结束后，测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告，并应同时向省、市两级等保办提交第三级（含）以上信息系统的等级测评报告。第三十三条 被测评信息系统安全状况未达到信息安全等级保护制度要求的，由等级测评机构提出安全建设整改意见，运营、使用单位应当及时制定方案进行整改。第三十四条 省等保办负责对省内等级测评机构的推荐、考核、年审和监督管理。第三十五条 省内信息系统的等级测评工作原则上由省内等级测评机构完成，特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时，应在省等保办办理登记备案手续，按照本规范开展等级测评活动，并接受省等保办的监督管理。第三十六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持，但不得从事下列活动：（一）影响被测评信息系统正常运行，危害被测评信息系统安全；（二）泄露被测评单位及被测信息系统的敏感信息和工作秘密；（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级