目
维护公司测评项目行理提高测评项目施工质量节约成树立公司形象利公司持续发展特制订制度
二 范围
制度测评活动项目工作员
三 项目组织业务流程
1 等级测评活动中项目开展组织形式描述(工作组)
2 工作组职责
3 等级测评业务流程基程划分(加流程图)
4 等级测评实施程阶段求
四 测评准备程理
41 测评准备活动工作流程
测评准备活动目标利启动测评项目准备测评需相关资料利编制测评方案良基础测评准备活动包括项目启动信息收集分析工具表单准备三项务三项务基工作流程见图1:
42 测评准备活动务
421 项目启动
项目启动务中测评机构组建等级测评项目组获取测评委托单位测系统基情况基资料员计划安排等方面整等级测评项目实施做基准备输入:委托测评协议书务描述:
a) 根测评双方签订委托测评协议书系统规模测评机构组建测评项目组员方面做准备编制项目计划书项目计划书应包含项目概述工作技术思路工作容项目组织等
b) 测评机构求测评委托单位提供基资料包括:测系统总体描述文件详细描述文件安全保护等级定级报告系统验收报告安全需求分析报告安全总体方案查次等级测评报告(果)测评委托单位信息化建设状况发展联络方式等
输出产品:项目计划书
422 信息收集分析
测评机构通查阅测系统已资料调查表格方式解整系统构成保护情况编写测评方案开展现场测评工作奠定基础输入:调查表格测系统总体描述文件详细描述文件安全保护等级定级报告系统验收报告安全需求分析报告安全总体方案查次等级测评报告(果)务描述:
a) 测评机构收集等级测评需种资料包括测评委托单位种方针文件规章制度相关程理记录测系统总体描述文件详细描述文件安全保护等级定级报告安全需求分析报告安全总体方案安全现状评价报告安全详细设计方案户指南运行步骤网络图表配置理文档等
b) 测评机构调查表格提交测评委托单位督促测系统相关员准确填写调查表格
c) 测评机构收回填写完成调查表格分析调查结果解熟悉测系统实际情况分析容包括测系统基信息物理位置行业特征理框架理策略网络设备部署软硬件重性部署情况范围边界业务种类重性业务流程业务数重性业务安全保护等级户范围户类型测系统处运行环境面威胁等信息重查次等级测评报告中信结果
d) 果调查表格填写准确完善存相互矛盾方较测评机构应安排现场调查测系统相关员进行面面沟通解
输出产品:填调查表格
423 工具表单准备
测评项目组成员进行现场测评前应熟悉测系统相关种组件调试测评工具准备种表单等输入:种测系统相关技术资料务描述:
a) 测评员调试次测评程中测评工具包括漏洞扫描工具渗透性测试工具性测试工具协议分析工具等
b) 测评员模拟测系统搭建测评环境
c) 准备印表单包括:现场测评授权书文档交接单会议记录表单会议
输出产品:选测评工具清单印类表单
43 测评准备活动输出文档
测评准备活动输出文档容表1示:
44 测评准备活动中双方职责
测评机构职责:
a) 组建等级测评项目组
b) 指出测评委托单位应提供基资料
c) 准备测系统基情况调查表格提交测评委托单位
d) 测评委托单位介绍安全测评工作流程方法
e) 测评委托单位说明测评工作带风险规避方法
f) 解测评委托单位信息化建设状况发展测系统基情况
g) 初步分析系统安全情况
h) 准备测评工具文档
测评委托单位职责:
a) 测评机构介绍单位信息化建设状况发展情况
b) 准备测评机构需资料
c) 测评员信息收集提供支持协调
d) 准确填写调查表格
e) 根测系统具体情况业务运行高峰期网络布置情况等测评时间安排提供适宜建议
f) 制定应急预案
五 方案编制程理
51 目
方案编制程开展等级测评工作关键活动现场测评提供基文档指导方案程务确定测信息系统相适应测评象测评指标测评容等根需重开发测评指导书测评指导书形成测评方案
52 方案编制程工作流程
方案编制活动包括测评象确定测评指标确定测试工具接入点确定测评容确定测评指导书测评指导书开发测评方案编制六项务六项务基工作流程见图:
方案编制活动基工作流程
53 方案编制程需完成务:
531 确定测评象:
根已解测系统信息分析整测系统涉业务应系统确定出次测评测评象
包括:
a) 根调查表格获测系统基情况识描述测系统整体结构
b) 根填调查表格识描述测系统边界
c) 识描述测系统网络区域
d) 识描述测系统重节点
e) 述描述容进行整理描述测系统
f) 确定测评象
g) 描述测评象
程输入输出:
输入:填调查表格
输出产品:测评方案测评象部分
532 测评指标确定
根已解测系统定级结果确定出次测评测评指标
程包括务:
a) 根测系统调查表格出测系统定级结果包括业务信息安全保护等级系统服务安全保护等级出测系统应采取安全保护措施ASG组合情况
b) GBT 222392008 中选择相应等级安全求作测评指标包括ASG三类安全求选择
c) 等级信息系统组成测系统应分确定定级象测评指标果定级象物理环境理体系测评指标分开
分开测评指标应采高原
d) 分针定级象加描述包括系统定级结果指标选择两部分中
指标选择列表形式出(示)
测评指标
程输入输出:
输入:填调查表格GBT 222392008
输出产品:测评方案测评指标部分
533 测试工具接入点确定
等级测评中二级二级信息系统应进行工具测试工具测试漏洞扫描器渗透测试工具集协议分析仪等测试工具
程工作务:
a) 确定需进行工具测试测评象
b) 选择测试路径般说测试工具接入采取外网络网段逐步逐点接入
c) 根测试路径确定测试工具接入点
d) 结合网络拓扑图采图示方式描述测试工具接入点测试目测试途径测试象等相关容
程输入输出:
输入:填调查表格
输出产品:测评方案测评容中关测评工具接入点部分
534 测评容确定
程确定现场测评具体实施容单元测评容
阶段务:
确定单元测评容测评方案中现场单元测评实施容通常表格形式出表格包括测评指标测评容描述等容
现场单元测评实施容表格描述基格式表:
表 ××××(物理安全)单元测评实施容
程输入输出:
输入:填调查表格测评方案测评象测评指标测评工具接入点部分
输出产品:测评方案单元测评实施部分
535 测评指导书开发
测评指导书具体指导测评员进行测评活动文件现场测评工具方法操作步骤等详细描述保证测评活动重现根测评指导书应详充分
程务:
a) 描述单测评象包括测评象名称IP址途理员等信息
b) 根单元测评实施求确定测评活动包括测评项测评方法操作步骤预期结果等四部分
c) 单元测评般表格形式设计描述测评项测评方法操作步骤预期结果等容整体测评般文字描述方式表述测评例方式进行组织
单元测评测评指导书描述基格式:
表 ×××(测评象核心交换机)单元测评指导书
程输入输出:
输入:测评方案测试工具接入点单元测评实施部分
输出产品:测评指导书测评结果记录表格
536 测评方案编制
测评方案等级测评工作实施基础指导等级测评工作现场实施活动测评方案应包括局限容:项目概述测评象测评指标测评工具接入点单元测评实施等
程务:
a) 根委托测评协议书填调研表格提取项目源测评委托单位整体信息化建设情况测系统单位系统间连接情况等
b) 根等级保护程中等级测评实施求测评活动标准罗列出
c) 委托测评协议书测系统情况估算现场测评工作量工作量根配置检查节点数量工具测试接入点测试容等情况进行估算
d) 根测评项目组成员安排编制工作安排情况
e) 根测评验测系统规模编制具体测评计划包括现场工作员分工时间安排进行时间计划安排时应量避开测系统业务高峰期避免测系统带影响时测评计划中应具体测评需条件测评需配合员出便测评实施前双方沟通协调合理安排
f) 汇总述容方案编制活动务获取容形成测评方案文稿
g) 评审提交测评方案测评方案初稿应通测评项目组全体成员评审修改完成形成提交稿然测评机构测评方案提交测评委托单位签字认
程输入输出:
输入:委托测评协议书填调研表格GBT 222392008中相应等级基求测评方案测评象测评指标测试工具接入点测评容部分
输出产品:评审确认测评方案文
54 整方案编制活动输出文档:
方案编制活动输出文档容表示 :
方案编制活动输出文档容
55方案编制活动中双方职责
测评机构职责:
a) 详细分析测系统整体结构边界网络区域重节点等
b) 初步判断测系统安全薄弱点
c) 分析确定测评象测评指标测试工具接入点确定测评容方法
d) 编制测评方案文部评审提交测机构签字确认
测评委托单位职责:
a) 测评方案进行认签字确认
六 现场测评程理
61 现场测评活动工作流程
现场测评活动包括现场测评准备现场测评结果记录结果确认资料三项务三项务基工作流程见图3:
62 现场测评活动务
621 现场测评准备
务启动现场测评保证测评机构够利实施测评前提
输入:现场测评授权书测评方案
务描述:
a) 测评委托单位签署现场测评授权书
b) 召开测评现场首次会测评机构介绍测评工作交流测评信息进步明确测评计划方案中容说明测评程中具体实施工作容测评时间安排等便面测评工作开展
c) 测评双方确认现场测评需种资源 包括测评委托单位配合员需提供测评条件等确认测系统已备份系统数
d) 测评员根会议沟通结果测评结果记录表单测评程序进行必更新
输出产品:会议记录更新测评计划测评程序确认测评授权书等
622 现场测评结果记录
现场测评般包括访谈文档审查配置检查工具测试实察五方面
6221 访谈
输入:测评指导书技术安全理安全测评测评结果记录表格
务描述:
a) 测评员测系统关员(群体)进行交流讨等活动获取相关证解关信息访谈范围等级信息系统测评时求般应基覆盖安全相关员类型数量抽样
输出产品:技术安全理安全测评测评结果记录录音
6222 文档审查
输入:安全方针文件安全理制度安全理执行程文档系统设计方案网络设备技术资料系统产品实际配置说明系统种运行记录文档机房建设相关资料机房出入记录等程记录文档测评指导书理安全测评测评结果记录表格
务描述:
a) 检查GBT 222392008中规定必须具制度策略操作规程等文档否齐备
b) 检查否完整制度执行情况记录机房出入登记记录电子记录高等级系统关键设备登记记录等
述文档进行审核分析检查完整性文件间部致性
输出产品:理安全测评测评结果记录
6223 配置检查
输入:测评指导书技术安全测评网络机应测评结果记录表格
务描述:
a) 根测评结果记录表格容利机验证方式检查应系统机系统数库系统网络设备配置否正确否文档相关设备部件保持致文档审核容进行核实(包括日志审计等)
b) 果系统输入效命令时完成功进行错误测试
c) 针网络连接应连接规进行验证
输出产品:技术安全测评网络机应测评结果记录
6224 工具测试
输入:测评指导书技术安全测评网络机应测评结果记录表格
务描述:
a) 根测评指导书利技术工具系统进行测试包括基网络探测基机审计漏洞扫描渗透性测试性测试入侵检测协议分析等
b) 备份测试结果
6225 实察
输入:测评指导书技术安全测评物理安全理安全测评结果记录表格
务描述:
a) 根测系统实际情况测评员系统运行现场通实观察员行技术设施物理环境状况判断员安全意识业务操作理程序系统物理环境等方面安全情况测评否达相应等级安全求
输出产品:技术安全测评物理安全理安全测评结果记录
623 结果确认资料
输入:测评结果记录工具测试完成电子输出记录
务描述:
a) 测评员现场测评完成应首先汇总现场测评测评记录漏掉需进步验证容实施补充测评
b) 召开测评现场结束会测评双方测评程中发现问题进行现场确认
c) 测评机构测评程中阅文档资料 测评委托单位文档资料提供者签字确认
输出产品:现场测评中发现问题汇总证证源记录测评委托单位书面认文件
63 现场测评活动输出文档
现场测评活动输出文档容表6示:
64 现场测评活动中双方职责
测评机构职责:
a) 利访谈文档审查配置检查工具测试实察方法测评测系统保护措施情况获取相关证
测评委托单位职责:
a) 测评前备份系统数确认测设备状态完
b) 协调测系统部相关员关系配合测评工作开展
c) 签署现场测评授权书
d) 相关员回答测评员问询某需验证容机进行操作
e) 相关员确认测试前协助测评员实施工具测试提供效建议降低安全测评系统运行影响
f) 相关员协助测评员完成业务相关容问询验证测试
g) 相关员测评结果进行确认
h) 相关员确认测试测设备状态完
七 报告编制程理
现场测评工作结束测评机构应现场测评获测评结果(称测评证)进行
汇总分析形成等级测评结编制测评报告
现场测评工作结束测评机构应现场测评获测评结果(称测评证)进行汇总分析形成等级测评结编制测评报告测评员初步判定单元测评结果需进行整体测评整体测评单元测评结果会变化需进步修订单元测评结果进行风险分析评价形成等级测评结 分析报告编制活动包括单项测评结果判定单元测评结果判定整体测评风险分析等级测评结形成测评报告编制六项务六项务基工作流程见图:
单项测评结果判定
单元测评结果判定
风险分析
测评报告编制
等级测评结形成
整体测评
单项测评结果判定
务针测评指标中单测评项结合具体测评象客观准确分析测评证形成初步单项测评结果单项测评结果形成等级测评结基础
单元测评结果判定
务单项测评结果进行汇总分统计测评象单项测评结果
判定单元测评结果表格形式逐列出
整体测评
针单项测评结果符合项采取逐条判定方法安全控制间层面间区域间出发考虑出整体测评具体结果系统结构进行整体安全测评
风险分析
测评员等级保护相关规范标准采风险分析方法分析等级测评结果中存安全问题测系统安全造成影响
等级测评结形成
测评员测评结果汇总基础找出系统保护现状等级保护基求间差
距形成等级测评结
测评报告编制
测评报告应包括局限容:概述测系统描述测评象说明测评指标
说明测评容方法说明单元测评整体测评测评结果汇总风险分析评价等级
测评结整改建议等
分析报告编制活动输出文档
分析报告编制活动输出文档容表示
分析报告编制活动输出文档容
分析报告编制活动中双方职责
测评机构职责:
a) 分析判定单项测评结果整体测评结果
b) 分析评价测系统存风险情况
c) 根测评结果形成等级测评结
d) 编制等级测评报告说明系统存安全隐患缺陷出改进建议
e) 评审等级测评报告评审等级测评报告分发范围进行分发
f) 生成程文档档保存测评程中生成电子文档清
测评委托单位职责:
签收测评报告
附件附加相关理表单产生表单:
1 测评流程卡
2 合评审记录表
3 测评方案评审记录表
4 测评报告评审记录表
5 测评现场接收文档清单
6 会议签表会议记录等
附件表
仅供参考
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档