一.测评准备主要任务
1. 工作启动
- 人员、基本资料、计划安排
- 输入:委托测评协议书
- 任务描述:
- 双方签订委托协议和系统规模,人员准备,编制项目计划书
-
2. 信息收集和分析
输入:项目计划书,系统调查表格,被测定级对象相关资料
- 任务描述:
- 收集委托管理架构,技术体系,运行情况,建设方案,建设过程中相关测试文档
- 系统调查表,定级对象准确填写表格
- 回收调查表,分析调查结果。
- 收集信息分析,采用方法:
- 采用系统分析法对整体网络结构和系统组成进行分析,包括网络结构、对外边界,定级对象数量和级别、不同安全保护定级对象分布情况和承载应用情况
- 采用分解与综合分析法, 边界和系统构成,物理与逻辑边界、硬件资源、软件资源、信息资源
- 采用对比与类比分析法。 应用架构方式、应用处理流程、处理信息类型、业务数据处理流程、服务对象、用户数量
- 调查表信息不准确不完善有矛盾,必须现场调查,确保信息系统准确和完整
-
3. 测评过程双方职责
测评机构职责
- 组建测评项目组
- 向委托机构获取基本资料
- 准备基本调查表,交给委托方
- 提供安全测评工作流程和方法
- 提前说明风险和规避方法
- 了解委托者的信息化建设和基本情况
- 初步分析系统安全状况
- 准备测评系统的安全状况
- 委托机构职责
输入:填好的调查表格,各种与被测评定级对象相关的技术资料
任务描述:
- 识别 并描述被测定级对象的整体结构
- 根据调查表格获得的被测对象的基本情况,识别测评对象的整体结构并加以描述
- 识别边界
- 根据填好的调查表格,识别出被测定级对象边界及边界设备并加以描述。
- 识别网络区域
- 业务类型及重要程度划分不同区域根据区域划分 情况描述每个区域内的主要业务应用、业务流程、区域的边界以及它们之间的连接情况等。
- 识别主要设备
- 确定测评对象
- 结合安全级别和重要程度,分析各个设备组件的功能特点,技术层面对象:重要性安全性共享性全面性恰当性
- 管理层面,测评定级对象人员以及管理人员
描述对象
更具等级保护分为业务信息安全(S类)和系统服务保证类(A类)通用安全保护(G类)
- GB/T 22239选取基本指标
- 根据实际情况选取不适用项
- 特殊指标选取根据对象业务自身需求
-
3.测评内容确定
输入:系统调查表,测评方案的测评对象部分,—测评指标部分
主要是现场测评,单项测评
任务描述
依据GB/T22239将指标映射到对象上,根据特点描述采取测评方法,测评内容是开展测评指导书的基础4.工具测试方法确定
输入:测评方案实施部分,选取的工具清单,GB/T 22239
环境,确定对象,测试路径,接入点,结合网络拓扑图,描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。
输出:测评方案的工具测试方法及内容部分。5.测评指导书开发
指导测评人员如何测评活动的文档,尽可能详实,充分
更具GB/T 28448 单项测评,确定测评活动,方法,步骤,预期结果
测评项是指 GB/T22239中对该测评对象在该用例中的要求
输出:结果记录表6.测评方案编制
输入:委托测评协议书,填好的调研表格,各种与被测定级对象相关的技术资料,选用的测评工具清
单,GB/T22239或行业规范中相应等级的基本要求,测评方案的测评对象、测评指标、单项测评实施部
分、工具测试方法及内容部分等。
测评机构职责:详细分析对象存在的资产情况,薄弱点内部评审制定规避风险实施方案
委托方:提供资料和信息,评审测评方案文本,对风险规避实施方案,不在生产环境测评做好相同备份环境山歌生产验证环境或测试环境三、现场测评
现场准备
输入::经过评审和确认的测评方案文本,风险规避实施方案文本,风险告知书,现场测评工作计划。
任务:
委托方风险告知书签字做好应急准备和备份
获取现场册测评授权书
召开首次现场测评会,简绍测评工作安排,对测评计划和测评方案中的测评内容和方法进行沟通
确定需要的资源,配合人员,测试环境
输出/产品:会议记录,测评方案,现场测评工作计划和风险告知书,现场测评授权书等。结果记录:
测评人员按照指导书实施测评,证据详细、准确记录
输入:工作计划,授权书,指导书,测评记录结果表格
任务描述: 关键数据备份
- 确定对象开展条件,工作正常,系统处于良好状况
- 按照指导书获取证据,访谈、核查,、测试
- 结束后交代是否造成不良影响、测评系统是否工作正常
结果确认和资料归还
输入:测评结果记录和工具测试电子记录
任务:
- 测评后汇总对漏掉的进一步验证补充
- 召开测评现场结束会,现场沟通和确认
- 资料归还,委托方签字确认
输出文档
双方职责
四、报告编写
若有收获,就点个赞吧
0 人点赞
