信息安全等级保护标准体系概述课件.ppt

1、信息安全等级保护信息安全等级保护标准体系概述标准体系概述目录 信息安全等级保护标准体系信息安全等级保护标准体系 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求目录 信息安全等级保护标准体系信息安全等级保护标准体系 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求等级保护标准体系 多年来，在有关部门支持下，在国内有关专多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，

2、全国信息安全标准化技家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标列标准，形成了比较完整的信息安全等级保护标准体系。汇集成准体系。汇集成信息安全等级保护标准汇编信息安全等级保护标准汇编供有关单位、部门使用。供有关单位、部门使用。在安全建设整改工作中的作用 等级保护有关标准等级保护标准体系 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整信息安全等级保护标准体系由等级保护工作

3、过程中所需的所有标准组成，整个标准体系可以从多个角度分析个标准体系可以从多个角度分析 从基本分类角度看基础类标准技术类标准管理类标准 从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等等级保护标准体系 从等级保护生命周期看 通用/基础标准 系统定级用标准 安全建设用标准 等级测评用标准 运行维护用标准等等级保护主要工作一是：定级备案一是：定级备案二是：建设整改二是：建设整改三是：等级测评三是：等级测评四是：监督检查四是：监督检查等级保护工作中用到的主要标准（一）基础（一）基础1 1、计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB17859-1999GB17

4、859-19992 2、信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T 25058-2010GB/T 25058-2010（二）系统定级环节（二）系统定级环节3 3、信息系统安全保护等级定级指南信息系统安全保护等级定级指南GB/T22240-2008GB/T22240-2008（三）建设整改环节（三）建设整改环节4 4、信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T22239-2008GB/T22239-2008（四）等级测评环节（四）等级测评环节5 5、信息系统安全等级保护测评要求信息系统安全等级保护测评要求(国标报批稿国标报批稿)6 6、信息系统安全等级

5、保护测评过程指南信息系统安全等级保护测评过程指南(国标报批稿国标报批稿)小结-等级保护主要政策和标准 信息安全等级保护管理办法（公通字200743号，以下简称管理办法）计算机信息安全保护等级划分准则（GB 17859-1999，简称划分准则）信息系统安全等级保护实施指南 GB/T 25058-2010（简称实施指南）信息系统安全保护等级定级指南（GB/T 22240-2008，简称定级指南）信息系统安全等级保护基本要求（GB/T 22239-2008，简称基本要求）信息系统安全等级保护测评要求（简称测评要求）信息系统安全等级保护测评过程指南（简称测评过程指南）目录 信息安全等级保护制度要干什么

6、信息安全等级保护制度要干什么 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求具体做法等级确定与备案 自查与等级测评等级保护运行与管理基本要求，实施指南、安全产品标准 定级指南、实施指南 监督管理要求、基本要求、测评要求 基本要求，定级指南、实施指南，设计规范、测评要求安全规划与设计 安全建设与实现 监督管理要求实施指南标准定位和关系 管理办法管理办法(43(43文件文件)（总要求）（总要求）实施指南（实施指南（GB/T25058-2010GB/T25058-2010）定级指南（定级指

7、南（GB/T22240-2008GB/T22240-2008）基本要求（基本要求（GB/T22239-2008GB/T22239-2008）测评要求测评要求 建设指南建设指南目录 信息安全等级保护制度要干什么信息安全等级保护制度要干什么 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求管理办法 管理办法第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。管理办法管理办法第九条:信息系统运营、使用单位应当

8、按照信息系统安全等级保护实施指南具体实施等级保护工作。管理办法管理办法第十条:信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。管理办法管理办法第十二条:在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求等技术标准，参照等技术标准同步建设符合该等级要求的信息安全设施。管理办法 管理办法第十三条:运营、使用单位应当参照信息安全技术信息系统安全管理要求（GB/T20269-2006）、信息安全技术信息系统安全工程管理要求（GB/T2

9、0282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。管理办法管理办法第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。目录 信息安全等级保护制度要干什么信息安全等级保护制度要干什么 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法

10、实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求实施指南介绍和描述了实施信息系统等级保护过程介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。不同阶段的作用等。实施指南等级变更等级变更局部调整局部调整信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止实施指南的

11、主要思路u 以信息系统安全等级保护建设为主要线索，u 定义信息系统等级保护实施的主要阶段和过程u 对每个阶段介绍和描述主要的过程和实施活动 u 对每个活动说明实施主体、主要活动内容和输入输出等实施指南标准的结构 正文由9个章节1个附录构成 1.范围 2.规范性引用文件 3术语定义 4.等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出实施指南中的主要概念 阶段 过程 主要活动 子活动 活动输入 活动输出实施指南特点阶段阶段过程过程活动活动 子活动子活动例如例如:信息系统定级信息系统定级信息系统分析信息系统分析系

12、统识别和描绘系统识别和描绘 识别信息系统的基本信息识别信息系统的基本信息 识别信息系统的管理框架识别信息系统的管理框架 信息系统划分信息系统划分系统定级阶段-实施流程主要输入主要输入主要输出主要输出过程过程系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档信息系统分析信息系统分析系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件安全保护等级确定安全保护等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级定级建议书定级建议书目录 信息安全等级保护制度要干什么信息安全等级保护制度要干什么 信息安全等级保护工作使

13、用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求定级指南 安全保护等级安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的等级的确定是不依赖于安全保护措施的，具有一定的“客观客观性性”，即该系统在存在之初便由其自身所实现的使命决定了它的，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由安全保护等级，而非由“后天后天”的安全保护措施决定。的安全保护措施决定。标准的结构 正文由6个章节构成 1.范围 2.规范性引用文件 3.术语定义 4.定级原理 5.定级方法 6.级别变更-定级原

14、理五个等级的定义第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。-定级原理受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第

15、二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级-定级方法确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。可能的系统级别 第一级第一级 S1A1G1S1A1G1 第二级第二级 S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2 第三级第三级 S1A3G3S1A3G3，S2A3G3S2A3G3，S3A

16、3G3S3A3G3，S3A2G3S3A2G3，S3A1G3S3A1G3 第四级第四级 S1A4G4S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4目录 信息安全等级保护制度要干什么信息安全等级保护制度要干什么 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求37标准背景03年，27号文件进一步明确信息安全等级保护制度04年，66号文件要求“尽快制定、完善法律法规和标准

17、体系”编制历程 04年10月，接受公安部的标准编制任务 05年 6月，完成初稿，广泛征求安全领域专家和行业用户意见；05年10月，征求意见稿第一稿，国信办、安标委评审 05年11月，征求意见稿第三稿 06年 6月，试点工作 07年04月，征求意见稿第四稿，安标委专家评审 07年05月，形成报批稿 08年6月19日，正式发布，08年11月1日正式实施。38标准定位 GB 17859-1999的细化和发展 吸收安全机制并扩展到不同层面 增加安全管理方面的内容 借鉴PDR、CMM、17799 关注可操作性 最佳实践 当前技术的发展 机制要求（目标/要求）信息系统安全等级保护基本要求计算机信息系统安全

18、保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南等级保护有关标准在安全建设整改工作中的作

19、用 3940与其他标准的关系 GB17859-1999是基础性标准，基本要求17859基础上的进一步细化和扩展。定级指南确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据基本要求选择相应等级的安全保护要求进行系统建设实施。测评要求是依据基本要求检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。41标准适用范围 用户范围 信息系统的主管部门及运营使用单位 测评机构 安全服务机构（系统集成商，软件开发商）信息安全监管职能部门 适用环节 需求分析 方案设计、系统建设与验收 运行维护、等级测评、自查标准的编制思路 门槛合理对每个级别的信息系统安全要求设置

20、合理，按照基本要求建设后，确实达到期望的安全保护能力 内容完整综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期 便于使用安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用424344基本安全保护能力o 对抗能力和恢复能力共同构成了信息系统的安全保护能力。o 安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。45能力目标o 第一级安全保护能力 应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意

21、攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。46能力目标o 第二级安全保护能力 应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。47能力目标 第三级安全保护能力 应具

22、有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。48能力目标 第四级安全保护能力 应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发

23、生后，能够迅速恢复所有功能。49描述模型一级系统二级系统三级系统防护防护/检测策略/防护/检测/恢复策略/防护/检测/恢复/响应四级系统技术要求特点50描述模型一级系统二级系统三级系统四级系统管理要求特点一般执行（部分活动建制度）计划实施（主要过程建制度）统一策略（管理制度体系化）持续改进（管理制度体系化/验证/改进）51描述模型一级系统二级系统三级系统四级系统覆盖范围特点通信/边界（关键资源）通信/边界/内部（重要设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）描述结构52某级系统类技术要求管理要求基本要求类控制点要求项控制点要求项安全类53物理安全技术要求管理要求基

24、本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理类示例7 第三级基本要求7.1 技术要求7.1.1 物理安全7.1.1.1 物理位置的选择 本项要求包括 a)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内 b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。54类要求项控制点控制点标注 业务信息安全相关要求（标记为S）系统服务保证相关要求（标记为A）通用安全保护要求（标记为G）技术要求（3种标注）管理要求（统属G）55描述模型 业务信息安全相关要求（S）电磁防护 访问控制 数据完整性 数据保密性 系统服务

25、保证相关要求（A）电力供应 软件容错 备份与恢复 资源控制 通用安全保护要求（G）管理要求和大部分技术要求56逐级增强的特点o控制点增加o要求项增加o要求项增强范围增大 要求细化要求粒度细化逐级增强的特点-控制点增加58o三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。o四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径，不同级别系统控制点的差异汇总安全要求类类/层面一级二级三级四级技术要求物理安全7101010网

26、络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/187459逐级增强的特点-要求项增加60o 要求项增多，如，对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”；而三级则要求“采用两种或两种以上组合的鉴别技术”。o 项目增加，要求增强。不同级别系统要求项的差异汇总安全要求类/层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全71931

27、36数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/901152861逐级增强的特点-要求项增强62o 范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。逐级增强的特点-要求项增强63o 要求细化：如，人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识

28、、岗位操作规程等进行培训”，而三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。逐级增强的特点-要求项增强64o 粒度细化：如，网络安全中的“访问控制”，二级要求“控制粒度为网段级”，而三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。基本要求文档结构 由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3.术语定义 4.信息系统安全等级保护概述 5.6.7.8.9五个等级的基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选

29、择和使用65各级的要求-物理安全66物理位置选择物理安全物理访问控制防盗窃和防破坏防雷击防火防水和防潮电力供应电磁防护防静电温湿度控制等级要求-物理安全67物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。部分物理安全要求涉及到终端所在的办公场地。控制点一级二级三级四级物理位置的选择*物理访问控制*防盗窃和防破坏*防雷击*防火*防水和防潮*防静电*温湿度控制*电力供应*电磁防护*合计710101068各级的要求-网络安全69网络安全结构安全网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护等级要求-网络安全

30、70网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。控制点一级二级三级四级结构安全（G）*访问控制（G）*安全审计（G）*边界完整性检查（S）*入侵防范（G）*恶意代码防范（G）*网络设备防护（G）*合计367771各级的要求-主机安全72主机安全身份鉴别访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制安全标记等级要求-主机安全73主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、

31、业务终端、办公终端等。主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。控制点一级二级三级四级身份鉴别（S）*安全标记（S）*访问控制（S）*可信路径（S）*安全审计（G）*剩余信息保护（S）*入侵防范（G）*恶意代码防范（G）*资源控制（A）*合计467974各级的要求-应用安全75应用安全身份鉴别访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全等级要求-应用安全76应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、

32、访问控制、安全审计、剩余信息保护及资源控制等。通信保密性、完整性一般在一个层面实现。各级的要求-数据安全及备份和恢复77数据安全数据完整性数据保密性备份和恢复控制点一级二级三级四级数据完整性*数据保密性*备份和恢复*合计233378各级的要求-安全管理79管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理各级的要求-安全管理机构80岗位设置安全管理机构人员配备授权和审批沟通与合作审核和检查控制点一级二级三级四级岗位设置*人员配备*授权和审批*沟通和合作*审核和检查*合计455581各级的要求-安全管理制度82管理制度安全管理制度制定和发布评审和修订控制点一级二级三级四级管理制

33、度*制定和发布*评审和修订*合计233383各级的要求-人员安全管理84人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理85控制点一级二级三级四级人员录用*人员离岗*人员考核*安全意识教育和培训*外部人员访问管理*合计4555各级的要求-系统建设管理86系统建设管理系统定级安全方案设计产品采购自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案等级测评控制点一级二级三级四级系统定级*安全方案设计*产品采购和使用*自行软件开发*外包软件开发*工程实施*测试验收*系统交付*系统备案*等级测评*安全服务商选择*合计99111187各级的要求-系统运维管理88系

34、统运维管理环境管理资产管理设备管理介质管理监控管理和管理中网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理控制点一级二级三级四级环境管理*资产管理*介质管理*设备管理*监控管理和安全管理中心*网络安全管理*系统安全管理*恶意代码防范管理*密码管理*变更管理*备份与恢复管理*安全事件处置*应急预案管理*合计1012131389目录 信息安全等级保护制度要干什么信息安全等级保护制度要干什么 信息安全等级保护工作使用的主要标准信息安全等级保护工作使用的主要标准 管理办法管理办法 实施指南实施指南 定级指南定级指南 基本要求基本要求 测评要求测评要求测评要

35、求 在内容上，与在内容上，与基本要求基本要求一一对应，直接把一一对应，直接把基本要求基本要求的要的要求项作为求项作为测评要求测评要求的测评指标。的测评指标。在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法实施的可行性。实施的可行性。在强度上，与安全等级相适应。在强度上，与安全等级相适应。在结果上，单点测试，整体评价相结合在结果上，单点测试，整体评价相结合主要内容 主体由10个章节构成1.范围2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级

36、安全控制测评9.第5级安全控制测评10.系统整体测评附录A 测评强度附录B 关于系统整体测评的进一步说明 测评要求的作用 指导系统运营使用单位进行自查 指导测评机构进行等级测评 监管职能部门参照进行监督检查 规范测评内容和行为测评要求和基本要求的关系 基本要求规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级信息系统的安全保护。测评要求规定了对信息系统安全控制进行等级测评的基本内容，使用到的测评方法，涉及到的测评对象，实施测评的过程要求，以及对测评结果进行判定的基本规则。内容和结构上，存在一一对应关系。测评方法 访谈访谈通过与信息系统用户（个人通过与信息系

37、统用户（个人/群体）迚行交流、认论等活劢，获取相群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。关证据证明信息系统安全保护措施是否落实的一种方法。检查检查通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。测试测试利用预定的方法利用预定的方法/工具使测评对象产生特定的行为活劢，查看输出结工具使测评对象产生特定的行为活劢，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。种方法。谢 谢