信息安全等级保护测评项目
测
评
方
案
广州华南信息安全测评中心
二〇一六年
目 录
第一章 概述 .................................................................. 3 第二章 测评基本原则 .......................................................... 4 一、 客观性和公正性原则 ................................................................................................................4 二、 经济性和可重用性原则 ............................................................................................................4 三、 可重复性和可再现性原则 ........................................................................................................4 四、 结果完善性原则 ........................................................................................................................4 第三章 测评安全目标(2 级) ................................................... 5 一、 技术目标 ....................................................................................................................................5 二、 管理目标 ....................................................................................................................................6 第四章 测评内容 .............................................................. 9 一、 资料审查 .................................................................................................................................. 10 二、 核查测试 .................................................................................................................................. 10 三、 综合评估 .................................................................................................................................. 10 第五章 项目实施 ............................................................. 12 一、 实施流程 .................................................................................................................................. 12 二、 测评工具 .................................................................................................................................. 13 2.1 调查问卷 ................................................................................................................................. 13 2.2 系统安全性技术检查工具 ..................................................................................................... 13 2.3 测评工具使用原则 ................................................................................................................. 13 三、 测评方法 .................................................................................................................................. 14 第六章 项目管理 ............................................................. 15 一、 项目组织计划 .......................................................................................................................... 15 二、 项目成员组成与职责划分 ...................................................................................................... 15 三、 项目沟通 .................................................................................................................................. 16 3.1 日常沟通,记录和备忘录 ..................................................................................................... 16 3.2 报告 ......................................................................................................................................... 16 3.3 正式会议 ................................................................................................................................. 16 第七章 附录:等级保护评测准则 ................................................ 19 一、 信息系统安全等级保护 2 级测评准则 .................................................................................. 19 1.1 基本要求 ................................................................................................................................. 19 1.2 评估测评准则 ......................................................................................................................... 31 二、信息系统安全等级保护 3 级测评准则 .................................................................................... 88
基本要求 ........................................................................................................................................ 88
评估测评准则 .............................................................................................................................. 108
第一章 概述
2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强 信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联
合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件
明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”
2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小 组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中 又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和
测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全
建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。