GBT 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南

GBT 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》《公通字[2004]66 号）和（信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一 与本标准相关的系列标准包括： GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求； -GB/T 22240-2008 信息安全技术-GB/T 28448—2012 信息安全技术 信息系统安全等级保护定级指南；信息系统安全等级保护测评要求。 本标准规定了信息系统安全等级保护测评（以下简称“等级测评”）工作的测评过程，对等级测评的活动、工作任务以及每项任务的输人/输出产品等提出指导性建议。 本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T5271.8 信息技术 词汇 第8部分，安全 GB17859-1999 计算机信息系统 安全保护等级划分准则GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求 《信息安全等级保护管理办法》《公通字[2007]43号） 术语和定义 GB/T 5271.8，GB 17859-1999和GB/T 28448-2012界定的以及下列的术语和定义适用于本文件。 3.1优势证据 superior evidence测评结果显现的凭据强于其他测评结果的那个/些测评结果视为优势证据。它可用于平衡实施等级测评过程中获得的多个测评结果之间的矛盾。 符号和缩路语 DDN：数字数据网（Digital Data Network） PSTN；公共交换电话网络（Public Switched Telephone Network） SDH，同步数字体系（Synchronous Digital Hierarchy） 55.1等级测评的作用 等级测评概述 依据《信息安全等级保护管理办法》（公通字[2007]43号），信息系统运营、使用单位在进行信息系 统备案后，都应当选择测评机构进行等级测评，等级测评是测评机构依据GB/T22239-2008，GB/T 28448-2012等技术标准，检测评估信息系统安全等级保护状况是否符合相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。 在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求在信息系统运维过程中，信息系统运营、使用单位定期对信息系统安全等级保护状况进行自查或委托测评机构开展等级测评，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备GB/T 22239-2008中相应等级安全保护能力，而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料，是判断系统是否可批准开通运行的依据。等级测评结论为不符合的信息系统，其运营、使用单位应当根据等级测评报告，制定方案进行整改。 5.2 等级测评风险 5.2.1 可能影响系统正常运行 在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机验证并查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。 另外，还会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络和系统的负载造成一定的影响，渗透测试还可能影响到服务器和系统正常运行，如出现重启，服务中断、渗透过程中植入的代码未完全清理等现象。 5.2.2 可能泄漏敏感信息 泄漏被测信息系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。 5.3 等级测评风险的规避 在等级测评过程中可以通过采取以下措施规避风险 a）签署委托测评协议。在测评工作正式开始之前，测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、双方的责任和义务等，使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后的工作出现大的分歧。 签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为，保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有，测评方对其的引用与公开应得到被测评单位的授权，否则被测评单位将按照保密协议的要求追究测评单位的法律责任。 e） 现场测评工作风险的规避，进行验证测试和工具测试之前，测评机构要求运营、使用单位对系统及数据进行备份，并对可能出现的事件制定处理方案。 进行验证测试和工具测试时，避开业务高峰期，在系统资源处于空闲状态时进行，上机验证测测试由测评人员提出需要验证的内容，系统运营、使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。