网络安全等级保护测评工作(以下简称“等级测评”)是等级保护测评委托企业(以下简称“委托企业”)委托测评机构根据国家网络安全等级保护制度的规定,按照相关规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测和评估。检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。因此,企业顺利通过等级测评对于其完成网络安全等级保护(以下简称“等保”)工作而言至关重要。
等级测评的核心关注点
根据《测评要求》,等级测评包括单项测评与整体测评两个部分。
- 单项测评
单项测评是针对各安全要求项的测评,支持测评结果的可复制性和可再现性。由于单项中的每一个具体测评实施要求项是与安全控制点下面所包括的要求项(测评指标)相对应的,因此可以将单项测评细分为技术安全项测评与管理安全项测评。
①. 技术安全项测评
技术安全项包括对“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全测评中心”五类要求项的测评。
②. 管理安全项测评
管理安全测评项包括对“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”以及“安全运营管理”五类要求项的测评。
值得注意的是,对于不同级别以及新技术、新应用领域的等级保护对象将适用不同的技术安全项测评与管理安全项测评要求。 - 整体测评
整体测评是在单项测评基础上,对等保对象整体安全保护能力的判断。整体测评应从安全控制点、安全控制点间和区域间等方面进行测评和综合分析。
①. 安全控制点测评
安全控制点测评是指对单个控制点中所有要求项的符合程度进行分析和判断,如果该安全控制点下的所有要求项为符合,则该安全控制点符合,否则为不符合或部分符合。
当等保对象的某个安全控制点中的要求项存在不符合或部分符合的情况,则应进一步进行安全控制点间和区域间安全测评。
②. 安全控制点间测评
安全控制点间测评是指对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析,以确定这些关联对于等保对象整体安全保护能力的影响。安全控制点间测评应分析分析在同一类内,是否存在其它安全控制点对该安全控制点具有补充作用(如物理访问控制、防盗窃、身份鉴别和访问控制等)。同时,分析是否存在其它的安全措施或技术与该要求项具有相似的安全功能。
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失。如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。
③. 区域间测评
区域间测评是指对互联互通的不同区域之间的关联进行测评分析,以确定这些关联对于等保对象整体安全保护能力的影响。区域间测评应重点分析等级保护对象中访问控制路径(如不同功能区域间的数据流流向和控制方式等)是否存在区域间的相互补充作用。
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失。如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。
等级测评的基本流程
等级测评工作主要分为四步活动。
- 测评准备活动
测评准备活动是等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备活动主要分为三步:
第一步:项目启动
此阶段,由测评机构组建等级测评项目组,获取委托企业及被测系统的基本情况,并编制项目计划书。
委托企业职责:委托企业应按照测评机构要求提供基本资料,包括被测系统总体描述文件、详细描述文件、安全保护等级定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次等级测评报告(如有)、委托企业信息化建设状况与发展以及联络方式等。
第二步:信息收集和分析
此阶段,测评机构将通过查阅现有资料及调查表,了解系统构成及保护情况,为编写测评方案及开展现场测评工作奠定基础。
委托企业职责:需要委托企业向测评机构提供相关资料(包括但不限于各种方针文件、规章制度、相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、系统验收报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等),并准确填写调查表格。如调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构还可能安排现场调查,与委托企业相关人员进行面对面沟通和了解。此时,也需要委托企业的相关配合。
第三步:工具和表单准备
测评机构在现场测评前,应熟悉与被测系统相关各种组件、调试测评工具、准备各种表单。
委托企业职责:需要委托企业配合给予测评机构熟悉系统组件提供支持和协调。 - 方案编制活动
方案编制是等级测评活动实施的基础,主要为现场测评提供最基本的文档和指导方案。方案编制活动包括但不局限于确定测评对象、确定测评指标、确定测试工具接入点、确定测评内容、开发测评指导书,及编制测评方案在内的六项主要任务。
委托企业职责:需要委托企业确认对测评方案是否认可,并进行签字确认。同时,委托企业还应根据被测系统的情况,如业务运行高峰期、网络布置等,为测评时间安排提供适宜的建议。 - 现场测评活动
现场测评是等级测评工作的核心活动,主要是按照测评方案的总体要求,执行测评指导书,分步实施所有测评项目。现场测评活动包括,现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
委托企业职责:现场测评活动中需要委托企业进行沟通和协调,才能为现场测评活动的顺利开展打下良好基础。此外,还需委托企业做好如下工作,配合现场测评工作的顺利进行:
①. 测评前备份系统和数据,确认被测设备状态完好;
②. 协调被测系统内部相关人员的关系,配合测评工作开展;
③. 签署现场测评授权书;
④. 安排相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作;
⑤. 安排相关人员测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响;
⑥. 安排相关人员协助测评人员完成业务相关内容的问询、验证和测试;
⑦. 对测评结果确认;
⑧. 确认测试后被测设备状态完好。 - 分析与报告编制活动
分析与报告编制是对被测系统整体安全保护能力综合评价的活动。在现场测评工作结束后,测评机构应对现场测评获得的测评结果进行汇总分析,形成等级测评结论,编制测评报告。
委托企业职责:对测评报告进行确认签收。
测评中可能遇到的风险及应对措施
- 测试影响系统正常运行
因测评的环境是测评机构所不熟悉的、信息系统本身又具有一定的特殊性、以及测评过程中可能出现不可预知的情况,导致现场测评活动可能会影响系统正常运行。
应对措施:经测评机构向委托单位揭示风险,委托单位应同测评机构沟通后提前采取预防措施进行风险规避。 - 信息泄漏
在等级测评过程中,因委托企业提供大量资料给到测评机构,同时在测试过程中测评机构的工作人员可能会接触到委托企业的核心数据,可能会发生信息泄漏的风险。
应对措施:委托企业应同测评机构签署保密协议、并要求测评机构制定内部保密制度、制定过程控制制度、及指定专人负责保管等级测评的归档文件。
测评过程的规范化将在很大程度上降低测评引起的的风险,此外对双方权利及职责义务的明确也可在发生问题时,及时确定问题发生的源头,有助于迅速处理问题及明确责任的承担。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
