ZD09等保测评业务流程管理规范wz.docx

信息系统安全等级保护测评工作业务流程管理规范 ZD09.301/07-2012-00信息系统安全等级保护测评工作业务流程管理规范1 范围1.1 本管理规范适用于信息安全测评中心的信息系统安全等级保护测评项目。1.2 本管理规范依据ISO/IEC 17025:2005、ISO/IEC 17020:1998和GB/T 22239-2008。2工作原则2.1 客观性和公正性原则 测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。2.2 经济性和可重用性原则 基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。2.3 可重复性和可再现性原则 无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。2.4 符合性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。3 人员组织架构3.1 人员组织结构 如图1所示。图1 人员组织结构图3 工作程序3.1等级测评工作流程本规范规定初次等级测评的基本工作流程，如图2所示。等级测评工作测评准备活动、方案编制活动、现场测评活动和分析与报告编制活动开展具体按照信息系统安全等级保护测评过程指南执行。3.2 合同评审对于采取委托书形式的合同，执行简化评审。对于采取技术服务合同形式的合同，执行一般评审或者严格评审。委托书见附件。3.3任务下达在受理委托或签订技术服务合同之后，由计划调度员编制任务单，经部门负责人批准后下达测评任务。任务单见附件。3.4 方案评审 由技术负责人对方案进行技术评审，提出修改意见和完善建议，必要时记录评审结果；由部门负责人对方案进行管理审批，提出修改意见和完善建议，必要时记录评审结果。 测评方案、评审记录见附件。3.5 现场测评现场测评依据信息系统安全等级保护测评要求，具体执行参考测评作业指导书。信息系统安全等级保护测评要求见附件。测评作业指导书见附件。原始记录模板见附件。3.6 报告评审 由报告编制者负责组织其他检测人员组成评审小组对报告进行评审，提出修改意见和完善建议，必要时记录评审结果； 由技术负责人对报告进行技术评审，提出修改意见和完善建议，必要时记录评审结果； 由部门负责人对报告进行管理评审，提出修改意见和完善建议，必要时记录评审结果； 评审通过后形成报告评审意见书。 报告评审意见书见附件。 报告模板见附件。3 其它说明 本规范未规定事项均执行质量手册和相关程序规定。4附件4.1信息安全技术 信息系统安全等级保护测评要求4.2信息安全技术 信息系统安全等级保护测评过程指南单项测评结果判定单元测评结果判定整体测评风险分析安全测评结论形成测评报告编制分析与报告编制阶段现场测评准备现场测评和结果记录结果确认和资料归还现场测评阶段测评对象确定测评指标确定测试工具接入点确定测评内容确定测评指导书开发测评方案编制方案编制阶段安全测评项目启动信息收集与分析工具和表单准备测评准备阶段协调与沟通图2 等级测评基本工作流程4.3委托书4.4任务单4.5作业指导书4.5.1安全管理测评指导书V1.04.5.2 主机安全-Windows Server 2003操作系统测评指导书V1.04.5.3主机安全-SQL Server2000数据库测评指导书V1.04.5.4网络全局测评指导书V1.04.5.5网络安全-Juniper NetScreen防火墙测评指导书V1.04.5.6物理安全测评指导书V1.04.6信息系统安全测评方案4.7原始记录4.8评审记录4.9评审意见书4.10关于印发信息系统安全等级测评 报告模版