发布时间 : 星期一 文章信息安全技术网络安全等级保护测评要求第1部分 - 安全通用要求 - 编制说明更新完毕开始阅读93c27921d1d233d4b14e852458fb770bf68a3b51
- - .. --
家评审会,针对《信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求》草案第四稿征求意见。
11)2016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见。
12)根据专家意见已经修订完成,形成《信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求》草案第五稿。
13)根据测评机构反馈意见修订完成,形成《信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求》草案第六稿。
14)前正在推进《测评要求》后续专标准修订工作。 3
标准编制的技术路线
安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项测评和整体测评,图1给出了等级测评框架。
单项测评测评指标1)基本要求要求项a) b) 测评对象制度文档设备设施 安全配置相关人员测评实施测评方法测评规程访谈规程(步骤)检查规程(步骤)测试规程(步骤) 规程(步骤)说明单项判定判定原则2)等级保护对象安全保护等级访谈检查测试整体测评安全控制点测评安全控制点间测评层面间测评
图1 等级测评描述框架
针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。单项测评是由测评指标、测评对象、测评实施和单元判定构成。
本部分的测评指标包括《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》第四级目录下的要求项。
测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人
word 可编辑.
- - .. --
员等)。
制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。相关人员或部门,是指应用上述制度、设备及安全配置的人。
测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述。测评实施主要由测评方法和测评规程构成。其中测评方法包括:访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是:广度(覆盖面)和深度。对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。
结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合。
整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评。 4
标准总体框架
本标准共分为11章,4个附录,每章内容如下:
第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义;
第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成; 第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从《基本要求》的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开;而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与《基本要求》
word 可编辑.
- - .. --
形成了相互对照、和谐统一的标准体系。
第9章,略掉第五级的测评要求。
第10章,描述了系统整体测评方法。在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评。分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想。
第11章,概要说明了给出测评结论的方法,测评结论主要应该包括哪些方面的内容等。
附录A,描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度。
附录B,描述了测评指标编码规则及专用缩略语。 附录C,描述了设计要求测评验证内容。
附录D,为基本要求的要求项和测评要求的测评单元索引表。 5
主要章节的编写方法
第5、6、7、8章分别描述了第一级、第二级、第三级和第四级所有测评要求的内容,在章节上分别对应国标GB/T 22239.1-2XXX的第5章到第8章。在国标GB/T 22239.1-20XX第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理和环境安全、网络和通信安全、设备和计算安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的具体安全要求项。具体编制案例如下。
案例:
7 第三级测评要求 7.1
安全技术单项测评
7.1.1 物理和环境安全 7.1.1.1
物理位置的选择
7.1.1.1.1 测评单元(L3-PES1-01) a) 测评指标
机房场地应选择在具有防震、防风和防雨等能力的建筑内;(本条款引用自GB/T 22239.1-20XX 7.1.1.1 a)) b) 测评对象
word 可编辑.
- - .. --
记录类文档、机房。 c) 测评实施
1) 应核查所在建筑物是否具有建筑物抗震设防审批文档; 2) 应核查机房是否不存在雨水渗漏;
3) 应核查门窗是否不存在因风导致的尘土严重;
4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。 d) 单元判定
如果1)-4)均为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合或部分符合本测评单元指标要求。 7.1.1.1.2 测评单元(L3-PES1-02) a) 测评指标
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。(本条款引用自GB/T 22239.1-20XX 7.1.1.1 b)) b) 测评对象
机房。 c) 测评实施
1) 应核查是否不位于所在建筑物的顶层或地下室,如果否,则核查是否采取了防水和防潮措施。 d) 单元判定
如果以上测评实施内容为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合本测评单元指标要求。
信息安全技术 网络系统安全等级保护测评要求
第1部分:安全通用要求编写组
2016年10月
宁可累死在路上,也不能闲死在家里!宁可去碰壁,也不能面壁。是狼就要练好牙,是羊就要练好腿。什么是奋斗?奋斗就是每天很难,可一年一年却越来越容易。不奋斗就是每天都很容易,可一年一年越来越难。能干的人,不在情绪上计较,只在做事上认真;无能的人!不在做事上认真,只在情绪上计较。拼一个春夏秋冬!赢一个无悔人生!早安!—————献给所有努力的人
word 可编辑.