信息安全等級保護(hù)體系解讀

1、信息安全等級保護(hù)體系解讀內(nèi)容概要信息安全等級保護(hù)的定義1信息安全等級保護(hù)的工作內(nèi)容2信息安全等級保護(hù)的定義信息安全等級保護(hù)制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級安全保護(hù)第二級安全保護(hù)第三級安全保護(hù)第四級安全保護(hù)第五級安全保護(hù)EAL1EAL2EAL3EAL4EAL5特別重大事件（I級）重大事件（II級）較大事件（III級）一般事件（IV級）信息系統(tǒng)安全保護(hù)等級的劃分等級對象侵害客體侵害程度監(jiān)管程度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利益

2、損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查信息安全等級保護(hù)的發(fā)展歷史1995年1999年1994年中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院147號令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。中華人民共和國警察法（法律依據(jù)）第二章第六條第十二款規(guī)定，“公安機(jī)關(guān)人民警察依法履行監(jiān)察管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 （GB17859）第一級：用戶自主保護(hù)

3、級第二級：系統(tǒng)審計(jì)保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗(yàn)證保護(hù)級信息安全等級保護(hù)的發(fā)展歷史2003年國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）明確指出“實(shí)行信息安全等級保護(hù)”；“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南?！?004年關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字200466號）明確了開展信息安全等級保護(hù)工作的意義、具體的工作內(nèi)容、各部門的職責(zé)分工及實(shí)施計(jì)劃。2007年信息安全等級保護(hù)管理辦法（公通字200743號）明確了信

4、息安全等級保護(hù)具體的等級劃分、定級、備案、整改、測評、檢查等環(huán)節(jié)的具體工作要求和實(shí)施細(xì)則。2008年國家標(biāo)準(zhǔn)化管理委員會相斷出臺了信息安全等級保護(hù)的各項(xiàng)國家標(biāo)準(zhǔn)規(guī)范：信息安全等級保護(hù)定級指南（GB/T 22240）信息安全等級保護(hù)基本要求（GB/T 22239）等32項(xiàng)國家標(biāo)準(zhǔn)。信息安全等級保護(hù)的政策和法律體系中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國務(wù)院147號令)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字200466號）信息安全等級保護(hù)管理辦法（公通字200743號)關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知

5、（公信安2007861號）信息安全等級保護(hù)備案實(shí)施細(xì)則（公信安20071360號）關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(公信安20091429號)關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知（發(fā)改高技20082071號）關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知（公信安303號文）關(guān)于印發(fā)信息系統(tǒng)安全等級測評報(bào)告模版（試行）的通知（公信安20091487號）公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范（公信安2008736號）信息安全等級保護(hù)工作定級備案整改測評檢查信息安全等級保護(hù)技術(shù)和管理標(biāo)準(zhǔn)體系計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系

6、統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)基本要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求其它技術(shù)類標(biāo)準(zhǔn)管理類信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其它管理類標(biāo)準(zhǔn)產(chǎn)品類操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)基本要求的定級細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級保護(hù)實(shí)施指南信息系統(tǒng)安全等級保護(hù)測評要求信息安全等級保護(hù)安全建設(shè)整改工作安全等級安全要求現(xiàn)狀分析方法指導(dǎo)信息安全等級保護(hù)所涉及的標(biāo)準(zhǔn)通用類1.計(jì)

7、算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則(GB17859)2.信息系統(tǒng)安全等級保護(hù)實(shí)施指南(GB/T25058)3.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求(GB/T22239)4.信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南(GB/T22240)5.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求6.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南。安全技術(shù)類1.信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求2.信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270)3.信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求(GB/T20271)4.信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.信息安全技術(shù)服務(wù)器安全技術(shù)要求(GB/

8、T21028)6.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272)7.信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GBT20273)。安全管理類1.信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T20269)2.信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T20282)3.信息技術(shù)安全技術(shù)信息安全事件管理指南(GB/Z20985)4.信息安全技術(shù)信息安全事件分類分級指南(GB/Z20986)。信息安全等級保護(hù)工作的職責(zé)和角色行業(yè)主管部門：負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。公安機(jī)關(guān)：非涉密信息系統(tǒng)等

9、級保護(hù)具體工作的監(jiān)督、檢查、指導(dǎo)。保密部門：涉密信息系統(tǒng)等保工作的監(jiān)督、檢查、指導(dǎo)。密碼管理部門：密碼工作的監(jiān)督、檢查、指導(dǎo)。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)：各部門間的工作協(xié)調(diào)。測評機(jī)構(gòu)：對信息系統(tǒng)和信息安全產(chǎn)品進(jìn)行等級保護(hù)測評，出具測評結(jié)論。信息安全服務(wù)機(jī)構(gòu)：協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成安全保護(hù)等級、安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。信息系統(tǒng)運(yùn)營、使用單位：確定安全保護(hù)等級，安全保護(hù)的規(guī)劃設(shè)計(jì)，定級進(jìn)行等保測評，建立信息安全事件應(yīng)急響應(yīng)體系。信息安全產(chǎn)品供應(yīng)商：開發(fā)符合等級保護(hù)相關(guān)要求的信息安全產(chǎn)品，按照等級保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)

10、。信息安全等級保護(hù)信息安全等級保護(hù)工作概述定級備案整改測評檢查信息安全等級保護(hù)工作流程1.確定信息系統(tǒng)的安全防護(hù)等級，形成定級報(bào)告。2.持定級報(bào)告到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行備案。3.參照信息系統(tǒng)當(dāng)前等級要求和標(biāo)準(zhǔn)，對信息系統(tǒng)進(jìn)行整改加固。4.委托具備測評資質(zhì)的測評機(jī)構(gòu)對信息系統(tǒng)進(jìn)行等級測評，形成正式的測評報(bào)告。5.向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交測評報(bào)告，配合完成對信息安全等級保護(hù)實(shí)施情況的檢查。信息安全等級保護(hù)基本要求系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理數(shù)據(jù)安全信息安全等級保護(hù)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全安全管理機(jī)構(gòu)安全管理制度應(yīng)用安全人員安全管理技術(shù)要求管理要求信息安全等級保護(hù)定級定義由信息系統(tǒng)運(yùn)營單位

11、確定信息系統(tǒng)的安全保護(hù)等級。1由運(yùn)營單位業(yè)務(wù)部門確定實(shí)施信息安全等級保護(hù)的信息系統(tǒng)。2參照定級標(biāo)準(zhǔn)和流程獲得信息等級的安全保護(hù)等級信息。3最終形成信息系統(tǒng)安全保護(hù)等級確認(rèn)報(bào)告。定級流程1.確定定級對象2.確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體3.綜合評定對客體的侵害程度4.業(yè)務(wù)信息安全等級（S）5.確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體6.綜合評定對客體的侵害程度7.系統(tǒng)服務(wù)安全等級（A）8.定級對象的安全保護(hù)等級（SxAxGx）定級參考信息業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級第二級第二級

12、社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級系統(tǒng)服務(wù)安全保護(hù)等級矩陣表系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級定級結(jié)論安全保護(hù)等級信息系統(tǒng)定級結(jié)果組合第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4信息安全等級保護(hù)備案定義由信息系統(tǒng)運(yùn)營單位持定級報(bào)告到當(dāng)?shù)毓?/p>

13、安機(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行信息系統(tǒng)安全保護(hù)等級信息備案。1按照運(yùn)營單位所在地確定受理備案的機(jī)構(gòu)（省公安廳/市公安局）。2由運(yùn)營單位填寫信息系統(tǒng)安全等級保護(hù)備案表格。3提交備案表格，獲得備案回執(zhí)信息（通過審核/限期整改）。備案信息信息安全等級保護(hù)整改定義按照信息系統(tǒng)已備案的等級信息，參照信息安全等級保護(hù)基本要求，組織開展差距分析及整改加固的相關(guān)工作。由信息系統(tǒng)運(yùn)營單位開展自查及整改工作，不斷完善信息安全等級保護(hù)的各項(xiàng)要求。委托具備測評資質(zhì)的測評機(jī)構(gòu)開展信息系統(tǒng)安全等級保護(hù)差距分析，配合運(yùn)營單位完成整改及安全加固工作。信息安全等級保護(hù)測評機(jī)構(gòu)業(yè)務(wù)范圍1.信息安全等級保護(hù)測評。2.信息系統(tǒng)安全等級保護(hù)定級，

14、等級保護(hù)安全建設(shè)整改，信息安全等級保護(hù)宣傳教育等工作的技術(shù)支持。3.信息安全風(fēng)險(xiǎn)評估。4.信息安全培訓(xùn)。5.信息安全咨詢。6.信息安全工程監(jiān)理。不得從事的活動1.影響被測評信息系統(tǒng)正常運(yùn)行，危害被測評信息系統(tǒng)安全。2.泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密。3.故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實(shí)出具等級測評報(bào)告。4.未按規(guī)定格式出具等級測評報(bào)告； 5.非授權(quán)占有、使用等級測評相關(guān)資料及數(shù)據(jù)文件； 6.分包或轉(zhuǎn)包等級測評項(xiàng)目； 7.信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成； 8.限定被測評單位購買、使用其指定的信息安全產(chǎn)品； 9.其他可能影響測評

15、客觀、公正和安全的活動。整改依據(jù)不同級別控制點(diǎn)差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級差/1874不同級別要求項(xiàng)差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建

16、設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級差/9011528信息安全等級保護(hù)測評定義委托具備測評資質(zhì)的第三方測評機(jī)構(gòu)，對已定級的信息系統(tǒng)進(jìn)行信息安全等級保護(hù)測評，并出具正式的測評報(bào)告和測評結(jié)論。1明確被測評系統(tǒng)的安全保護(hù)等級，制定測評方案和實(shí)施計(jì)劃。2由運(yùn)營單位配合完成測評過程中的人員訪談、配置檢查、安全測試等工作。3出具最終的測評報(bào)告和測評結(jié)論（符合/基本符合/不符合）。測評實(shí)施流程等級測評項(xiàng)目啟動信息收集與分析工具和表單準(zhǔn)備測評準(zhǔn)備活動測評對象確定測評指標(biāo)確定測評內(nèi)容確定工具測評方法確定測評指導(dǎo)書開發(fā)測評方案編制方案編制活動現(xiàn)場測評準(zhǔn)備現(xiàn)場測評和結(jié)果記

17、錄結(jié)果確認(rèn)和資料歸還現(xiàn)場測評活動單項(xiàng)測評結(jié)果判定單元測評結(jié)果判定整體測評風(fēng)險(xiǎn)分析等保測評結(jié)論形成測評報(bào)告編制報(bào)告編制活動溝通與洽談1.測評準(zhǔn)備活動測評項(xiàng)目啟動測評機(jī)構(gòu)與信息系統(tǒng)運(yùn)營單位簽訂測評委托合同，明確被測評的信息系統(tǒng)名稱和安全保護(hù)等級，確認(rèn)測評實(shí)施范圍。信息收集與分析信息系統(tǒng)運(yùn)營單位整理被測評系統(tǒng)的相關(guān)信息，填寫測評機(jī)構(gòu)提供的測評系統(tǒng)信息表格。工具和表單準(zhǔn)備根據(jù)運(yùn)營單位提供的被測評系統(tǒng)的相關(guān)信息，由測評機(jī)構(gòu)準(zhǔn)備相應(yīng)的安全測試工具和測試申請表格。1.測評準(zhǔn)備活動測評實(shí)施項(xiàng)需要收集的信息配合人員需要收集的信息配合人員信息收集與分析機(jī)構(gòu)基本情況業(yè)務(wù)部門主管終端設(shè)備情況主機(jī)管理員系統(tǒng)管理人員名單

18、系統(tǒng)管理員系統(tǒng)軟件情況系統(tǒng)管理員物理環(huán)境情況機(jī)房管理員應(yīng)用系統(tǒng)軟件情況系統(tǒng)管理員信息系統(tǒng)基本情況系統(tǒng)管理員業(yè)務(wù)數(shù)據(jù)情況數(shù)據(jù)管理員承載的業(yè)務(wù)情況系統(tǒng)管理員數(shù)據(jù)備份情況數(shù)據(jù)管理員網(wǎng)絡(luò)結(jié)構(gòu)情況網(wǎng)絡(luò)管理員應(yīng)用系統(tǒng)軟件處理流程系統(tǒng)管理員服務(wù)器設(shè)備情況主機(jī)管理員業(yè)務(wù)數(shù)據(jù)流程業(yè)務(wù)管理員網(wǎng)絡(luò)設(shè)備情況網(wǎng)絡(luò)管理員管理文檔情況文檔管理員安全設(shè)備情況安全管理員安全威脅情況安全管理員外聯(lián)線路及設(shè)備端口情況網(wǎng)絡(luò)管理員系統(tǒng)備案信息業(yè)務(wù)部門主管2.方案編制活動測評對象確定根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個(gè)被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評

19、的測評指標(biāo)。測評內(nèi)容確定確定現(xiàn)場測評的具體實(shí)施內(nèi)容。2.方案編制活動測評指導(dǎo)書開發(fā)測評指導(dǎo)書是具體指導(dǎo)測評人員如何進(jìn)行測評活動的文件，是現(xiàn)場測評的工具、方法和操作步驟等的詳細(xì)描述，編制與實(shí)際測評相關(guān)的測評指導(dǎo)書。測評方案編制測評方案是等級測評工作實(shí)施的基礎(chǔ)，指導(dǎo)等級測評工作的現(xiàn)場實(shí)施活動。主要包括：項(xiàng)目概述、測評對象、測評指標(biāo)、測評工具的接入點(diǎn)以及單元測評實(shí)施等。2.方案編制活動測評指導(dǎo)書2.方案編制活動測評方案3.現(xiàn)場測評活動現(xiàn)場測評準(zhǔn)備測評機(jī)構(gòu)與被測評單位雙方在現(xiàn)場測評前就配合人員、所需資源、測評方案及實(shí)施計(jì)劃的詳細(xì)溝通與確認(rèn)?，F(xiàn)場測評和結(jié)果記錄現(xiàn)場測評主要包括人員訪談、文檔審查、策略配置

20、檢查、工具測試和實(shí)地察看等五個(gè)方面，詳細(xì)記錄結(jié)果。結(jié)果確認(rèn)和資料返還將各單項(xiàng)測評項(xiàng)的結(jié)果與被測評單位的相關(guān)管理人員進(jìn)行信息確認(rèn)，在現(xiàn)場測評結(jié)束前返還測評過程中所需的各項(xiàng)管理文檔和資料。3.現(xiàn)場測評活動雙方職責(zé)測評機(jī)構(gòu)職責(zé)利用訪談、文檔審查、配置檢查、工具測試和實(shí)地察看的方法測評被測系統(tǒng)的保護(hù)措施情況，并獲取相關(guān)證據(jù)。測評委托單位職責(zé)1.測評前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測設(shè)備狀態(tài)完好。 2.協(xié)調(diào)被測系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，配合測評工作的開展。 3.簽署現(xiàn)場測評授權(quán)書。 4.相關(guān)人員回答測評人員的問詢，對某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作。 5.相關(guān)人員確認(rèn)測試前協(xié)助測評人員實(shí)施工具測試并提供有效建議，

21、降低安全測評對系統(tǒng)運(yùn)行的影響。 6.相關(guān)人員協(xié)助測評人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗(yàn)證和測試。 7.相關(guān)人員對測評結(jié)果進(jìn)行確認(rèn)。 8.相關(guān)人員確認(rèn)測試后被測設(shè)備狀態(tài)完好。3.現(xiàn)場測評活動雙方職責(zé)測評實(shí)施項(xiàng)工作內(nèi)容實(shí)施人員（測評機(jī)構(gòu)）配合人員（被測評單位）現(xiàn)場測評和結(jié)果記錄結(jié)果確認(rèn)和資料返還物理安全測評物理安全測評師機(jī)房管理員網(wǎng)絡(luò)安全測評網(wǎng)絡(luò)安全測評師網(wǎng)絡(luò)管理員安全管理員主機(jī)安全測評主機(jī)安全測評師主機(jī)管理員應(yīng)用安全測評應(yīng)用安全測評師應(yīng)用系統(tǒng)管理員數(shù)據(jù)安全測評數(shù)據(jù)安全測評師數(shù)據(jù)管理員安全管理機(jī)構(gòu)測評安全管理測評師業(yè)務(wù)、科技部門主管安全管理制度測評業(yè)務(wù)、科技部門主管人員安全管理測評業(yè)務(wù)、科技部門主管系

22、統(tǒng)運(yùn)維管理測評系統(tǒng)運(yùn)維部門主管系統(tǒng)建設(shè)管理測評系統(tǒng)開發(fā)、建設(shè)部門主管3.現(xiàn)場測評活動測評實(shí)施方法訪談文檔審查配置檢查工具測試測評人員與被測系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。1.檢查基本要求中規(guī)定的必須具有的制度、策略、操作規(guī)程等文檔是否齊備。2.檢查是否有完整的制度執(zhí)行情況記錄，如機(jī)房出入登記記錄、電子記錄、高等級系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。3.對上述文檔進(jìn)行審核與分析，檢查他們的完整性和這些文件之間的內(nèi)部一致性。根據(jù)測評結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實(shí)。根據(jù)測評指導(dǎo)書，利用技術(shù)工具對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。實(shí)地察看根據(jù)被測系統(tǒng)的實(shí)際情況，測評人員到系統(tǒng)運(yùn)行現(xiàn)場通過實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級