信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)測評過程指南送審稿_第1頁
已閱讀1頁,還剩44頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評過程指南送審稿送審稿引言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號)和《信息安全等級保護(hù)管理辦法》(公通字[2007]43號),制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本

2、標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括:——GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南;——GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求;——GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南;——GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求。信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評過程指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護(hù)測評(以下簡稱

3、等級測評)工作的測評過程,既適用于測評機(jī)構(gòu)、信息系統(tǒng)的主管部門及運(yùn)營使用單位對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行的安全測試評價,也適用于信息系統(tǒng)的運(yùn)營使用單位在信息系統(tǒng)定級工作完成之后,對信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測試評價,獲取信息系統(tǒng)的全面保護(hù)需求。2規(guī)范性引用文件下列文件中的條款通過在本標(biāo)準(zhǔn)中的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方

4、研究是否使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GBT5271.8信息技術(shù)詞匯第8部分:安全GB178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求《信息

5、安全等級保護(hù)管理辦法》(公通字[2007]43號)4.3等級測評風(fēng)險等級測評實(shí)施過程中,被測系統(tǒng)可能面臨以下風(fēng)險。4.3.1驗(yàn)證測試影響系統(tǒng)正常運(yùn)行在現(xiàn)場測評時,需要對設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測試工作,部分測試內(nèi)容需要上機(jī)查看一些信息,這就可能對系統(tǒng)的運(yùn)行造成一定的影響,甚至存在誤操作的可能。4.3.2工具測試影響系統(tǒng)正常運(yùn)行在現(xiàn)場測評時,會使用一些技術(shù)測試工具進(jìn)行漏洞掃描測試、性能測試甚至抗?jié)B透能力測試。測試可能會對系統(tǒng)的負(fù)載造成一定

6、的影響,漏洞掃描測試和滲透測試可能對服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。4.3.3敏感信息泄漏泄漏被測系統(tǒng)狀態(tài)信息,如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。4.4等級測評過程本標(biāo)準(zhǔn)中的測評工作過程及任務(wù)基于受委托測評機(jī)構(gòu)對信息系統(tǒng)的初次等級測評給出。運(yùn)營、使用單位的自查或受委托測評機(jī)構(gòu)對已經(jīng)實(shí)施過一次(或以上)等級測評的被測系統(tǒng)的等級測評,測評機(jī)構(gòu)和測評人員可以根據(jù)實(shí)際情況調(diào)整部分工作任務(wù),具體原則見附錄A。

7、等級測評過程分為四個基本測評活動:測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析及報(bào)告編制活動。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。4.4.1測評準(zhǔn)備活動本活動是開展等級測評工作的前提和基礎(chǔ),是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況,準(zhǔn)備測試工具,為編制測評方案做好準(zhǔn)備。4.4.2方案編制活動本活動是開展等級測評工作的關(guān)鍵活動,為現(xiàn)場測評提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論