等保測評工作流程
準備階段
項目啟動
· 組建評測項目組。
· 編制項目計劃書。
· 確定評測委托單位應提供的資料。
信息收集分析
· 查閱定級報告、系統描述文件、系統安全設計方案、自查或上次等級測評報告(如果做過資產或等級測評)等資料。
· 根據查閱到的系統情況調整調查表內容。
· 發放調查表給測評委托單位。
工具和表單準備
· 調試測評工具。
· 模擬被測系統搭建測評環境。
· 模擬測評。
· 準備打印表單。
方案編制階段
測評對象的確定
· 識別被測系統等級。
· 識別被測系統的整體結構。
· 識別被測系統的邊界。
· 識別被測系統的網絡區域。
測評指標確定
· 識別被測系統業務信息和系統服務安全保護等級。
· 選擇對應等級的ASG三類安全要求作為測評指標。
注:ASG
A:保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求;--電力供應、資源控制、軟件容錯等。
S:保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權修改的信息安全類要求;--物理訪問控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等。
G:通用安全保護類要求。--技術類中的安全審計、管理制度等。
測試工具接入點確定
· 在測評中,需要使用測試工具進行測試,測試工具可能用到漏洞掃描器、滲透測試工具集、協議分析儀等。
· 確定需要進行測試的測評對象。
· 選擇測試路徑。
· 根據測試路徑,確定測試工具的接入點。
測評指導書開發
測評指導書是具體指導測評人員如何進行測評活動的文檔,是現場測評的工具、方法和操作步驟等的詳細描述,是保證測評活動規范的根本。可從已有的測評指導書中選取與測評對象對應的手冊。
測評方案編制
測試方案是等級測評工作實施的基礎,指導等級測評工作的現場實施活動。測評方案應該包括但不局限于:項目概述、測評對象、測評指標、測評內容、測評方法等。
現場評測階段
現場評測階段通過與評測委托單位進行溝通和協調,為現場測評的順利開展打下良好基礎,依據測評方案實施現場測評工作,將測評方案和測評方法等內容具體落實到現場測評活動中。現場測評工作應取得報告編制活動所需的、足夠的證據和資料。
現場評測準備
· 測評委托單位對風險告知書簽字確認,了解測評過程中存在的安全風險,做好相應的應急和備份工作。
· 召開測評現場啟動會,測評機構介紹現場測評工作安排,雙方對測評計劃和測評方案中的測評內容和方法進行溝通。
· 雙方確認配合人員,環境等資源。
現場評測和結果記錄
· 依據測評指導書實施測評。
· 記錄測評獲取的證據、資料等信息。
· 匯總測評記錄,如果需要,實施補充測評。
實施測評
· 訪談
-訪談是指測評人員通過與信息系統有關人員(個人/群體)進行交流、討論等活動,獲取相關證據以表明信息系統安全保護措施是否有效落實的一種方法。在訪談范圍上,應基本覆蓋所有的安全相關人員類型,在數量上可以抽樣。
· 檢查
-檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動,獲取相關證據以證明信息系統安全保護措施是否有效實施的一種方法。在檢查范圍上,應基本覆蓋所有的對象種類(設備、文檔、機制等),數量上可以抽樣。
· 測試
-測試是指測評人員針對測評對象按照預定的方法/工具使其產生特定的響應,通過查看和分析響應的輸出結果,獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。在測試范圍上,應基本覆蓋不同類型的機制,在數量上可以抽樣。
結果確認和資料歸還
· 召開現場測評結束會。
· 測評委托單位確認測評過程中獲取的證據和資料的正確性,簽字認可。
· 測評人員歸還借閱的各種資料。
報告編制階段
在現場測評工作結束后,測評機構應對現場測評獲得的測評結果進行匯總分析,形成等級測評結論,并編制測評報告。
單項測評結果判定
· 分析測評項所對抗威脅的存在情況。
· 分析單個測評項對應的多個測評結果的符合情況。
單元測評結果判定
· 匯總每個測評對象在每個測評單元的單項測評結果。
· 判定每個測評對象的單元測評結果。
整體測評
分析不符合和部分符合的測評項與其他測評項(包括單元內、層面間、區域間)之間的關聯關系及對結果的影響情況。
風險分析
· 判斷整體評測后的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用的可能性(取值范圍為高、中、低)。
· 判斷整體測評后的單元測評結果匯總中部分符合項或不符合項所產生的安全問題被威脅利用后,對被測信息系統的業務信息安全和系統服務安全造成的影響程度,影響程度取值范圍為高、中、低。
· 結合上兩步結果,對評測信息系統面臨的安全風險進行賦值,風險值的取值范圍為高、中、低。
· 結合被測信息系統的安全保護等級和對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。
等級測評結論形成
統計再次匯總后的單項測評結果為部分符合和不符合項的項數,形成等級測評結論。
測評報告編制
測評報告應包括:測評項目概述、被測信息系統情況、等級測評范圍和方法、單元測評、整體測
