等保测评工作流程
准备阶段
项目启动
·组建评测项目组。
·编制项目计划书。
·确定评测委托单位应提供的资料。
信息收集分析
·查阅定级报告、系统描述文件、系统安全设计方案、自查或上次等级测评报告(如果做过资产或等级测评)等资料。
·根据查阅到的系统情况调整调查表内容。
·发放调查表给测评委托单位。
工具和表单准备
·调试测评工具。
·模拟被测系统搭建测评环境。
·模拟测评。
·准备打印表单。
方案编制阶段
测评对象的确定
·识别被测系统等级。
·识别被测系统的整体结构。
·识别被测系统的边界。
·识别被测系统的网络区域。
测评指标确定
·识别被测系统业务信息和系统服务安全保护等级。
·选择对应等级的ASG三类安全要求作为测评指标。
注:ASG
A:保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;--电力供应、资源控制、软件容错等。
S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等。
G:通用安全保护类要求。--技术类中的安全审计、管理制度等。
测试工具接入点确定
·在测评中,需要使用测试工具进行测试,测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。
·确定需要进行测试的测评对象。
·选择测试路径。
·根据测试路径,确定测试工具的接入点。
测评指导书开发
测评指导书是具体指导测评人员如何进行测评活动的文档,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动规范的根本。可从已有的测评指导书中选取与测评对象对应的手册。
测评方案编制
测试方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。测评方案应该包括但不局限于:项目概述、测评对象、测评指标、测评内容、测评方法等。
现场评测阶段
现场评测阶段通过与评测委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。
现场评测准备
·测评委托单位对风险告知书签字确认,了解测评过程中存在的安全风险,做好相应的应急和备份工作。
·召开测评现场启动会,测评机构介绍现场测评工作安排,双方对测评计划和测评方案中的测评内容和方法进行沟通。
·双方确认配合人员,环境等资源。
现场评测和结果记录
·依据测评指导书实施测评。
·记录测评获取的证据、资料等信息。
·汇总测评记录,如果需要,实施补充测评。