等級保護(hù)流程是什么?信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)備活動的目標(biāo)是順利啟動測評項目,準(zhǔn)備測評所需的相關(guān)資料,為順利編制測評方案打下良好的基礎(chǔ)。
信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)備活動包括項目啟動、信息收集和分析、工具和表單準(zhǔn)備三項主要任務(wù)。
一、項目啟動
在項目啟動任務(wù)中,測評機構(gòu)組建等級測評項目組,獲取測評委托單位及被測系統(tǒng)的基本情況,從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本準(zhǔn)備。
任務(wù)描述:
a) 根據(jù)測評雙方簽訂的委托測評協(xié)議書和系統(tǒng)規(guī)模,測評機構(gòu)組建測評項目組,從人員方面做好準(zhǔn)備,并編制項目計劃書。項目計劃書應(yīng)包含項目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項目組織等。
b) 測評機構(gòu)要求測評委托單位提供基本資料,包括:被測系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級定級報告、系統(tǒng)驗收報告、安全需求分析報告、安全總體方案、自查或上次等級測評報告(如果有),測評委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。
二、 信息收集和分析
測評機構(gòu)通過查閱被測系統(tǒng)已有資料或使用調(diào)查表格的方式,了解整個系統(tǒng)的構(gòu)成和保護(hù)情況,為編寫測評方案和開展現(xiàn)場測評工作奠定基礎(chǔ)。
被測系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級定級報告、系統(tǒng)驗收報告、安全需求分析報告,安全總體方案、自查或上次等級測評報告(如果有)。
任務(wù)描述:
a) 測評機構(gòu)收集等級測評需要的各種資料,包括測評委托單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級定級報告、安全需求分析報告、安全總體方案、安全現(xiàn)狀評價報告、安全詳細(xì)設(shè)計方案、用戶指南、運行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。
b) 測評機構(gòu)將調(diào)查表格提交給測評委托單位,督促被測系統(tǒng)相關(guān)人員準(zhǔn)確填寫調(diào)查表格。
c) 測評機構(gòu)收回填寫完成的調(diào)查表格,并分析調(diào)查結(jié)果,了解和熟悉被測系統(tǒng)的實際情況。分析的內(nèi)容包括被測系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級、用戶范圍、用戶類型、被測系統(tǒng)所處的運行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級測評報告中的可信結(jié)果。
d) 如果調(diào)查表格填寫不準(zhǔn)確或不完善或存在相互矛盾的地方較多,測評機構(gòu)應(yīng)安排現(xiàn)場調(diào)查,與被測系統(tǒng)相關(guān)人員進(jìn)行面對面的溝通和了解。
三、工具和表單準(zhǔn)備
測評項目組成員在進(jìn)行現(xiàn)場測評之前,應(yīng)熟悉與被測系統(tǒng)相關(guān)的各種組件、調(diào)試測評工具、準(zhǔn)備各種表單等。
任務(wù)描述:
a) 測評人員調(diào)試本次測評過程中將用到的測評工具,包括漏洞掃描工具、滲透性測試工具、性能測試工具和協(xié)議分析工具等。
b) 測評人員模擬被測系統(tǒng)搭建測評環(huán)境。
c) 準(zhǔn)備和打印表單,主要包括:現(xiàn)場測評授權(quán)書、文檔交接單、會議記錄表單、會議簽到表單等。