信息安全技術(shù)-信息系統(tǒng)安全等級保護測評過程指南送審稿_第1頁
已閱讀1頁,還剩44頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評過程指南送審稿送審稿引言依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號),制定本標準。本標準是信息安全等級保護相關(guān)系列標準之一。與本

2、標準相關(guān)的系列標準包括:——GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南;——GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求;——GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南;——GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求。信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評過程指南1范圍本標準規(guī)定了信息系統(tǒng)安全等級保護測評(以下簡稱

3、等級測評)工作的測評過程,既適用于測評機構(gòu)、信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級保護狀況進行的安全測試評價,也適用于信息系統(tǒng)的運營使用單位在信息系統(tǒng)定級工作完成之后,對信息系統(tǒng)的安全保護現(xiàn)狀進行的測試評價,獲取信息系統(tǒng)的全面保護需求。2規(guī)范性引用文件下列文件中的條款通過在本標準中的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準,然而,鼓勵根據(jù)本標準達成協(xié)議的各方

4、研究是否使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用于本標準。GBT5271.8信息技術(shù)詞匯第8部分:安全GB178591999計算機信息系統(tǒng)安全保護等級劃分準則GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求《信息

5、安全等級保護管理辦法》(公通字[2007]43號)4.3等級測評風險等級測評實施過程中,被測系統(tǒng)可能面臨以下風險。4.3.1驗證測試影響系統(tǒng)正常運行在現(xiàn)場測評時,需要對設(shè)備和系統(tǒng)進行一定的驗證測試工作,部分測試內(nèi)容需要上機查看一些信息,這就可能對系統(tǒng)的運行造成一定的影響,甚至存在誤操作的可能。4.3.2工具測試影響系統(tǒng)正常運行在現(xiàn)場測評時,會使用一些技術(shù)測試工具進行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試。測試可能會對系統(tǒng)的負載造成一定

6、的影響,漏洞掃描測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。4.3.3敏感信息泄漏泄漏被測系統(tǒng)狀態(tài)信息,如網(wǎng)絡(luò)拓撲、IP地址、業(yè)務(wù)流程、安全機制、安全隱患和有關(guān)文檔信息。4.4等級測評過程本標準中的測評工作過程及任務(wù)基于受委托測評機構(gòu)對信息系統(tǒng)的初次等級測評給出。運營、使用單位的自查或受委托測評機構(gòu)對已經(jīng)實施過一次(或以上)等級測評的被測系統(tǒng)的等級測評,測評機構(gòu)和測評人員可以根據(jù)實際情況調(diào)整部分工作任務(wù),具體原則見附錄A。

7、等級測評過程分為四個基本測評活動:測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。4.4.1測評準備活動本活動是開展等級測評工作的前提和基礎(chǔ),是整個等級測評過程有效性的保證。測評準備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細情況,準備測試工具,為編制測評方案做好準備。4.4.2方案編制活動本活動是開展等級測評工作的關(guān)鍵活動,為現(xiàn)場測評提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論