测评实施准备
由于信息系统安全测评受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在测评实施前,应充分做好测评前的各项准备工作。测评实施准备工作主要包括如下内容:明确测评目标、确定测评范围、组建测评团队、召开测评实施工作启动会议、系统调研、确定系统测评标准、确定测评工具、制定测评方案、测评工作协调、文档管理和测评风险规避等 11 项准备工作。同时,信息系统安全测评涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。下面分别描述11项准备工作。
① 明确测评目标:等级保护测评目标是验证信息信息系统是否达到定级基本要求。
② 确定测评范围:信息系统测评范围,可以是系统组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。通常依据下面几个原则来作为测评范围边界的界定方法:业务系统的业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等。在等级、分级测评中,如果出现在边界处共用设备,则通常将该设备划分到较高等级的范围内。
③ 组建测评团队:测评实施团队应由被测评组织、测评机构等共同组建测评小组;由被测评组织领导、相关部门负责人,以及测评机构相关人员成立测评工作领导小组;聘请相关专业的技术专家和技术骨干组成专家组。为确保测评的顺利有效进行,应采用合理的项目管理机制。通常测评机构角色主要包括测评组长、技术测评人员、管理测评人员、质量管控人员。被测评单位角色主要包括测评组长、信息安全管理人员、业务人员、运维人员、开发人员、协调人员。
④ 测评实施工作启动会议:为保障测评工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开测评实施工作启动会议。启动会一般由测评工作领导小组负责人组织召开,参与人员应该包括测评小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。启动会主要内容主要包括:被测评组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被测评组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;测评机构项目组长介绍评估工作一般性方法和工作内容等。通过启动会可对被测评组织参与测评人员以及其他相关人员进行测评方法和技术培训,使全体人员了解和理解测评工作的重要性,以及各工作阶段所需配合的工作内容。测评实施启动会议需要进行会议记录,形成会议摘要。
⑤ 系统调研:系统调研是了解、熟悉被测评对象的过程,测评实施小组应进行充分的系统调研,以确定系统测评的依据和方法。系统调研可采取问卷调查、现场面谈、人员访谈、资料查阅、实地查看相结合的方式进行。
在等级保护测评工作中,系统调研主要收集与信息系统相关的物理环境信息、网络信息、主机信息、应用信息、管理信息。其中网络信息包括网络拓扑图、网络结构、系统外联、网络设备、安全设备。将上述信息通过表格方式进行保存,为下一步制定测评方案、开展现场测评、形成测评报告提供前提。
⑥ 确定系统测评标准:因业务、行业、主管部门、地区等不同,系统测评标准依据存在个性化差异。信息系统测评依据应包括:
适用的法律、法规。
现有国际标准、国家标准、行业标准。
行业主管机关的业务系统的要求和制度。
与信息系统安全保护等级相应的基本要求。
被测评组织的安全要求。
系统自身的实时性或性能要求等。
⑦ 确定测评工具:主要包括测评前的表格、文档、检测工具等各项准备工作。测评工作通常包括根据评估对象和评估内容合理选择相应的测评工具,测评工具的选择和使用应遵循以下原则:
脆弱性发现工具,应具备全面的已知系统脆弱性核查与检测能力。
测评工具的检测规则库应具备更新功能,能够及时更新。
测评工具使用的检测策略和检测方式不应对信息系统造成不正常影响。
可采用多种测评工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。
评估工具的选择和使用必须符合国家有关规定。
测评工具应包括:主机检查、服务器检查、数据库检查、中间件检查、Web检查、专用业务检查、协议检查、口令检查、安全设备检查、网络设备检查、性能压力检查等。
⑧ 制定测评方案:测评方案是测评工作实施活动总体计划,用于管理评估工作的开展,使测评各阶段工作可控。测评方案是测评项目验收的主要依据之一,是测评人员进行内部工作交流、明确工作任务的操作指南。通常测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可。
⑨ 测评工作协调:为了确保测评工作的顺利开展,测评方案应得到被评估组织最高管理者的支持、批准。同时,须对管理层和技术人员进行传达,在组织范围内就测评相关内容进行培训,以明确有关人员在评估工作中的任务。在测评工作中,可能需要测评双方多次沟通,就测评具体细节进行协调。
⑩ 文档管理:文档是测评工作的最终体现方式。为确保文档资料的完整性、准确性和安全性,应遵循以下原则:
指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性。
文档的存储应进行合理的分类和编目,确保文档结构清晰可控。
所有文档应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息。
不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意。同时,测评组织需要有专门的存储介质、安全柜和人员,对测评所产生的记录文档进行一定时间的保存。如等级保护三级系统所产生的测评报告和记录需要保持 3年以上。
⑪ 测评风险规避:测评工作自身也存在风险,一是结果是否准确有效,能够达到预先目标存在风险;二是测评中的某些测试操作可能给被测评组织或信息系统引入新的风险。应通过技术培训和保密教育、制定测评过程管理相关规定、编制应急预案等措施进行风险规避。同时双方应签署保密协议,测评单位和测评人员签署个人保密协议。