我的位置 首页  >  新闻动态  >  国内新闻

等级测评业务的开展与应用等级测评标准的注意事项

来源:科技成果转化中心时间:2018-06-27
      

等级测评业务的开展

应用等级测评标准的注意事项


分享传播总是一种美德

本期关键词

流程规范 方法可行 结论公正

等级测评业务 等级测评标准  注意事项


等级测评业务的开展

我们本期内容学习从等级测评的业务开展要求“流程规范、方法可行、结论公正”开始,接着学习等级测评过程的四个级别活动,即“测评准备活动方案编制活动现场测评活动分析及报告编制活动”,再介绍测评工作的内容、测评过程管理、测评报告的编写与备案等内容,最后将介绍的是应用等级测评标准的注意事项。这一期的内容,基本上是这些内容。从中,我们会发现这些知识的介绍,是对各个标准的概括总结和解读,而又是对整个大的网络安全等级保护制度的扩展,应用到实际的等级测评工作中去。通过这篇文章,客户能够知道如何去辨识寻找一个合格的等级测评机构。另外,我们在应用等级测评标准的注意事项中,由于新技术、新应用的不断推陈出新,新版的《测评要求》在适应新技术、新应用的过程中,必将带来非常大的迭代革新。伴随着新要求的出台,鼎信也将适时总结新新要求,技术与管理全程跟进,将为客户提供越来越优质的服务。


等级测评业务应按照“流程规范、方法科学、结论公正”的要求进行。

等级测评过程包含四个基本测评活动:测评准备活动方案编制活动现场测评活动分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。其主要任务是掌握被测网络的详细情况,为实施测评做好文档及测试工具等方面的准备。测评准备活动的基本工作流程及任务主要包括等级测评项目启动、信息收集和分析、工具和表单准备

方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。其主要任务是开发与被测信息系统相适应的测评内容测评实施手册等,形成测评方案

现场测评活动是开展等级测评工作的核心活动。其主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目(包括单项测评系统整体测评),以了解网络的真实保护情况,获取足够的证据,发现网络中存在的安全问题。现场测评活动的基本工作流程及任务主要包括现场测评准备现场测评和结果记录结果确认资料归还

分析与报告编制活动是给出等级测评工作结果的活动,是总结被测网络整体安全保护能力的综合评价活动。其主要任务是根据现场测评结果和《网络安全等级保护测评要求》,通过单项测评结果判定和网络整体测评分析等方法,分析整个网络的安全保护现状与相应等级的保护要求之间的差距,综合评价被测网络安全保护状况,按照公安部制定的网络安全等级测评报告格式形成测评报告


1.测评工作的内容

依照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,各地区、各部门要认真组织开展网络的等级测评工作。

(1)制定工作计划,加强组织落实

各地区、各部门要按照公安部关于测评工作的整体部署,结合实际,制定本地区、本部门的测评工作计划,分解、细化任务和目标,将长期目标和阶段性目标结合起来,明确具体要求,确定责任人,加强组织领导,确保按期完成工作目标。各单位要根据工作计划,紧密结合本单位网络的规模、数量、安全保护现状等实际情况,制定具体实施方案,明确进度安排、落实测评经费保障等,确保测评工作取得实效。

(2)委托符合要求的测评机构

各单位、各部门委托等级测评机构开展测评时,应当在省级以上等保办公布的测评机构推荐目录(参见信息安全等级保护网,www.djbh.net)中选择测评机构。若用户希望找到我们单位的信息,在信息安全等级保护网上,你将查到“(豫)-003   河南省鼎信信息安全等级测评有限公司”赫然在列,你也就可以放心将等级保护工作委托我公司进行实施。我公司是经省等保办推荐符合等级测评政策的测评机构。网络运营者若准备选择的测评机构是我们公司,您可以看到省等保办推荐我公司的测评机构推荐证书、还可以查到我公司在岗的测评师以及证书等信息,我们时刻欢迎各方需要开展等级保护工作的单位,与我公司约定其他合理开展测评工作事宜,并与我公司签署委托测评合同。测评费用方面是可以参考国家信息化项目人工计费标准或根据被测设备数量和测评项评估。作为测评机构,我们会结合实际编制测评作业指导书和测评实施方案,严格按照《网络安全等级保护测评机构管理办法》的要求,规范开展测评工作,客观、公正地出具测评结论,并自觉接受监督。

(3)测评的实施和方法

按照国家标准规范要求,测评实施过程包括测评准备方案编制现场测评分析与报告编制。等级测评的主要方法有访谈检查测试分析等。被测评网络运营者与我们测评机构之间的沟通与洽谈贯穿整个等级测评过程,因此,网络运营者应当指定专人协同配合,积极加强与测评机构间的协调沟通,确保测评进展顺利

2.测评过程管理

在测评工作过程中,网络运营者要对测评活动进行监督管理,与测评机构签订工作协议和保密协议,落实测评过程监管措施,防范对网络可能造成的新的安全风险。网络运营者要监督检查测评机构是否依据《网络安全等级保护测评要求》《信息系统安全等级保护测评过程指南》等国家标准开展等级测评,以及测评人员是否有违规行为。一旦发现违规行为,被测网络运营者应当及时予以纠正,必要时可以向省级以上等保办反映。

3.测评报告的编写与备案

测评机构应当依据《网络安全等级保护测评要求》《信息系统安全等级保护测评过程指南》等标准规范开展等级测评,按照《信息系统安全等级测评报告模版》出具统一格式的测评报告,确保测评结论客观、公正。网络运营者在完成网络安全等级测评工作后30日内,将等级测评报告交由受理备案的公安机关备案。公安机关应当对测评报告进行分析审核,建档留存,根据测评报告中的意见和建议,督促指导备案单位及时开展安全建设整改工作。

应用等级测评标准的注意事项

测评要求中“安全通用要求”是等级保护对象通用测评要求,无论等级保护对象使用何种技术,必须先使用“安全通用要求”对等级保护对象进行测评,结合等级保护对象技术架构,再结合使用测评要求其他部分进行测评。例如,某单位的等级保护对象采用了云计算技术和移动互联接人技术,在进行等级测评时,先使用《信息系统安全等级保护测评要求》中的安全测评通用要求部分,再结合使用云计算安全测评扩展要求部分和移动互联安全测评扩展要求部分进行测评,以验证等级保护对象是否落实了云计算安全扩展要求移动互联安全扩展要求提出的安全控制措施。

无论等级保护对象是网络基础设施和传统信息系统,还是采用了云计算、移动互联、物联网、工业控制系统和大数据等技术的特殊等级保护对象,测评要求都能够规范全国等级测评机构测评人员的现场测评行为,接近客观给出测评结果,使等级测评工作更加规范化和标准化

在使用新版《测评要求》进行等级测评时,由于新技术新应用的迅速发展,等级保护对象的形态发生变化,等级测评对象也发生了变化。等级测评师在进行等级测评时,应根据被测等级保护对象采用新技术新应用的情况进行测评对象的选择。使用新版《测评要求》后,测评作业指导书将发生很大变化。

技术进步是飞速的,面对着我国信息化的不断发展与深入,信息安全也日益显得重要。没有网络安全,就没有国家安全,是真实而可以感受到的事情。我们不可能退回到刀耕火种的时代,面对世界的日新月异的快速变化,我们应当积极面对,甚至做到未雨绸缪防范于未然。等级测评工作的开展,是持续提升我国网络安全的基本制度与国策,是保卫我国第五疆域的一个优秀的体系方法。鼎信人,将与在网络安全领域工作的同仁,共同为等级测评工作的开展,持续奉献力量。为我国网络安全等级保护制度的实行,尽心尽力。

……往期也精彩……

分享是美德,传播是善良

等级测评依据的标准

等级测评工作的基本含义、目的、时机

网络安全等级保护工作的开展情况

健全完善网络安全等级保护制度的主要内容和任务

       (科技成果转化中心供稿)