网络安全等级保护:等级保护测评工作要求及业务开展注意事项
等级测评工作要求就是:依据标准,遵循原则;恰当选取,保证强度;规范行为,规避风险。当然,字面意思是非常浅显,实际操作却不是那么容易的。在《测评过程指南》中,也看到其用了不少的篇幅,对24个字进行的阐释与解读。标准是测评的依据,只有谙熟标准的内容,才能够最大限度的剔除自身主观因素对测评结果的不利影响。为测评工作的可重用性和可重复性打下良好的基础,为测评能力的提升大有裨益,为后面工作指导精神做铺垫,更好的做到“恰当选取、保证强度”。恰当选取,找到效率与质量之间的最佳平衡点。既提升测评的时间效益,又保证测评强度和质量。想要满足这一点,其实并非易事。需要我们对测评对象的确定准则、确定步骤有个清晰的认知。这些可以在《测评过程指南》中寻找到答案。深入的学习《测评过程指南》,是一个等级测评师必修的功课。要求测评机构实施等级测评的过程应规范。过程规范包括:制定内部保密制度;制定过程控制制度;规定相关文档评审流程;指定专人负责保管等级测评的归档文件等。要求测评人员的行为应规范。行为规范包括:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价测评结果;不将测评结果复制给非测评人员;涉及到测评委托单位的工作秘密或敏感信息的相关资料,只在指定场所查看,查看完成后立即归还等。
依据标准,遵循原则等级测评工作要出具的报告是通过科学有效的测评手段得到的是如实公正合理完善的反映客观实际现状产品。那么等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239、GB/T 28448,其中等级测评目标和内容应依据GB/T 22239,对具体测评项的测评实施方法则依据GB/T 28448。在等级测评实施活动中,应遵循GB/T 28448.1中规定的测评原则,保证测评工作公正、科学、合理和完善。
恰当选取,保证强度做任何事情,都不喜欢做一些无用功,也不喜欢做事情达不到预期效果。每一个人的精力又是有限的,在工作过程中即要讲求效率又要讲质量。恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。这里谈及的保证强度是指对被测定级对象应实施与其等级相适应的测评强度。
规范行为,规避风险测评过程中接触到的是客户的网络运行环境。生活中,做任何事情都存在风险,只是生活中大多数风险被经验以及能力化解于无形之中了。那主要是因为我们对生活的环境的高度熟悉,以至于有多重途径应付这些不起眼的风险,这些风险在我们眼里也不成为风险了。然而,测评环境是我们不太熟悉的以及信息系统的特殊性,加之对一些未可预知的情况难以把控,注定会存在一定的风险隐患。若要规避风险,必先有防范于未然的风险意识,就是需要我们懂得风险的产生因素。其实在测评工作要求指引的24个字中,就给出了解决方案即:规范行为。
《测评过程指南》附录C中明确谈到规避风险,是指要充分估计测评可能给被测定级对象带来的影响,测评前应向被测定级对象运营/使用单位揭示风险,要求其提前采取预防措施进行规避。同时,测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险,尽量避免给被测定级对象和单位带来影响。
等级测评的业务开展要求“流程规范、方法可行、结论公正”开始,接着学习等级测评过程的四个基本阶段,即“测评准备活动;方案编制活动;现场测评活动;分析及报告编制活动”,再介绍测评工作的内容、测评过程管理、测评报告的编写与备案等内容,最后将介绍的是应用等级测评标准的注意事项。这一期的内容,基本上是这些内容。从中,我们会发现这些知识的介绍,是对各个标准的概括总结和解读,而又是对整个大的网络安全等级保护制度的扩展,应用到实际的等级测评工作中去。通过这篇文章,客户能够知道如何去辨识寻找一个合格的等级测评机构。另外,我们在应用等级测评标准的注意事项中,由于新技术、新应用的不断推陈出新,新版的《测评要求》在适应新技术、新应用的过程中,必将带来非常大的迭代革新。伴随着新要求的出台,鼎信也将适时总结新新要求,技术与管理全程跟进,将为客户提供越来越优质的服务。等级测评业务应按照“流程规范、方法科学、结论公正”的要求进行。等级测评过程包含四个基本测评活动:测评准备活动;方案编制活动;现场测评活动;分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。其主要任务是掌握被测网络的详细情况,为实施测评做好文档及测试工具等方面的准备。测评准备活动的基本工作流程及任务主要包括等级测评项目启动、信息收集和分析、工具和表单准备。方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。其主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。现场测评活动是开展等级测评工作的核心活动。其主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目(包括单项测评和系统整体测评),以了解网络的真实保护情况,获取足够的证据,发现网络中存在的安全问题。现场测评活动的基本工作流程及任务主要包括现场测评准备、现场测评和结果记录、结果确认和资料归还。分析与报告编制活动是给出等级测评工作结果的活动,是总结被测网络整体安全保护能力的综合评价活动。其主要任务是根据现场测评结果和《网络安全等级保护测评要求》,通过单项测评结果判定和网络整体测评分析等方法,分析整个网络的安全保护现状与相应等级的保护要求之间的差距,综合评价被测网络安全保护状况,按照公安部制定的网络安全等级测评报告格式形成测评报告。
1.测评工作的内容依照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,各地区、各部门要认真组织开展网络的等级测评工作。(1)制定工作计划,加强组织落实各地区、各部门要按照公安部关于测评工作的整体部署,结合实际,制定本地区、本部门的测评工作计划,分解、细化任务和目标,将长期目标和阶段性目标结合起来,明确具体要求,确定责任人,加强组织领导,确保按期完成工作目标。各单位要根据工作计划,紧密结合本单位网络的规模、数量、安全保护现状等实际情况,制定具体实施方案,明确进度安排、落实测评经费保障等,确保测评工作取得实效。(2)委托符合要求的测评机构各单位、各部门委托等级测评机构开展测评时,应当在省级以上等保办公布的测评机构推荐目录(参见信息安全等级保护网,www.djbh.net)中选择测评机构。作为测评机构,会结合实际编制测评作业指导书和测评实施方案,严格按照《网络安全等级保护测评机构管理办法》《网络安全等级保护测评过程指南》等要求,规范开展测评工作,客观、公正地出具测评结论,并自觉接受监督。(3)测评的实施和方法按照国家标准规范要求,测评实施过程包括测评准备、方案编制、现场测评及分析与报告编制。等级测评的主要方法有访谈、检查、测试、分析等。被测评网络运营者与我们测评机构之间的沟通与洽谈贯穿整个等级测评过程,因此,网络运营者应当指定专人协同配合,积极加强与测评机构间的协调沟通,确保测评进展顺利。2.测评过程管理在测评工作过程中,网络运营者要对测评活动进行监督管理,与测评机构签订工作协议和保密协议,落实测评过程监管措施,防范对网络可能造成的新的安全风险。网络运营者要监督检查测评机构是否依据《网络安全等级保护测评要求》《网络安全等级保护测评过程指南》等国家标准开展等级测评,以及测评人员是否有违规行为。一旦发现违规行为,被测网络运营者应当及时予以纠正,必要时可以向省级以上等保办反映。3.测评报告的编写与备案测评机构应当依据《网络安全等级保护测评要求》《网络安全等级保护测评过程指南》等标准规范开展等级测评,按照《网络安全等级测评报告模版》出具统一格式的测评报告,确保测评结论客观、公正。网络运营者在完成网络安全等级测评工作后30日内,将等级测评报告交由受理备案的公安机关备案。公安机关应当对测评报告进行分析审核,建档留存,根据测评报告中的意见和建议,督促指导备案单位及时开展安全建设整改工作。1网络安全等级保护:网络安全等级保护基本技术2网络安全等级保护:一起回看2007等保重要政策文件43号文:下3网络安全等级保护:一起回看2007等保重要政策文件43号文:上4网络安全十大安全漏洞5等级保护、等级保护测评、分级保护测评、密码保护测评之间的区别与联系