信息項(xiàng)目安全技術(shù)信息系統(tǒng)項(xiàng)目安全等級(jí)保護(hù)測(cè)評(píng)過程指南送審稿

1、|信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南送審稿送審稿引言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號(hào)令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與

2、本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南；——GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求；——GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；——GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求。信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)（以下簡(jiǎn)

3、稱等級(jí)測(cè)評(píng)）工作的測(cè)評(píng)過程，既適用于測(cè)評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門及運(yùn)營使用單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的安全測(cè)試評(píng)價(jià)，也適用于信息系統(tǒng)的運(yùn)營使用單位在信息系統(tǒng)定級(jí)工作完成之后，對(duì)信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測(cè)試評(píng)價(jià)，獲取信息系統(tǒng)的全面保護(hù)需求。2規(guī)范性引用文件下列文件中的條款通過在本標(biāo)準(zhǔn)中的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各

4、方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GBT5271.8信息技術(shù)詞匯第8部分：安全GB178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GBT222402008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GBT222392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GBTCCCCCCCC信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GBTDDDDDDDD信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求《信

5、息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）|4.3等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)實(shí)施過程中，被測(cè)系統(tǒng)可能面臨以下風(fēng)險(xiǎn)。4.3.1驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。4.3.2工具測(cè)試影響系統(tǒng)正常運(yùn)行在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成

6、一定的影響，漏洞掃描測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。4.3.3敏感信息泄漏泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。4.4等級(jí)測(cè)評(píng)過程本標(biāo)準(zhǔn)中的測(cè)評(píng)工作過程及任務(wù)基于受委托測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)的初次等級(jí)測(cè)評(píng)給出。運(yùn)營、使用單位的自查或受委托測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)實(shí)施過一次（或以上）等級(jí)測(cè)評(píng)的被測(cè)系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員可以根據(jù)實(shí)際情況調(diào)整部分工作任務(wù)，具體原則見附錄

7、A。等級(jí)測(cè)評(píng)過程分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng)。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。4.4.1測(cè)評(píng)準(zhǔn)備活動(dòng)本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。4.4.2方案編制活動(dòng)本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)