软件的信息安全等级保护备案如何备案

　　等保测评工作流程

　　准备阶段

　　项目启动

　　·组建评测项目组。

　　·编制项目计划书。

　　·确定评测委托单位应提供的资料。

　　信息收集分析

　　·查阅定级报告、系统描述文件、系统安全设计方案、自查或上次等级测评报告(如果做过资产或等级测评)等资料。

　　·根据查阅到的系统情况调整调查表内容。

　　·发放调查表给测评委托单位。

　　工具和表单准备

　　·调试测评工具。

　　·模拟被测系统搭建测评环境。

　　·模拟测评。

　　·准备打印表单。

　　方案编制阶段

　　测评对象的确定

　　·识别被测系统等级。

　　·识别被测系统的整体结构。

　　·识别被测系统的边界。

　　·识别被测系统的网络区域。

　　测评指标确定

　　·识别被测系统业务信息和系统服务安全保护等级。

　　·选择对应等级的ASG三类安全要求作为测评指标。

　　注：ASG

　　A:保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;--电力供应、资源控制、软件容错等。

　　S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等。

　　G:通用安全保护类要求。--技术类中的安全审计、管理制度等。

　　测试工具接入点确定

　　·在测评中，需要使用测试工具进行测试，测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。

　　·确定需要进行测试的测评对象。

　　·选择测试路径。

　　·根据测试路径，确定测试工具的接入点。

　　测评指导书开发

　　测评指导书是具体指导测评人员如何进行测评活动的文档，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动规范的根本。可从已有的测评指导书中选取与测评对象对应的手册。

　　测评方案编制

　　测试方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应该包括但不局限于:项目概述、测评对象、测评指标、测评内容、测评方法等。

　　现场评测阶段

　　现场评测阶段通过与评测委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，依据测评方案实施现场测评工作，将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。

　　现场评测准备

　　·测评委托单位对风险告知书签字确认，了解测评过程中存在的安全风险，做好相应的应急和备份工作。

　　·召开测评现场启动会，测评机构介绍现场测评工作安排，双方对测评计划和测评方案中的测评内容和方法进行沟通。

　　·双方确认配合人员，环境等资源。

　　现场评测和结果记录

　　·依据测评指导书实施测评。

　　·记录测评获取的证据、资料等信息。

　　·汇总测评记录，如果需要，实施补充测评。