2.8.2.1总体框架
《工程管理要求》分为保证要求和实施要求两大类,其中保证要求是由资格保证要求和组织保证要求构成,实施要求是由工程实施要求和项目实施要求构成。
资格保证要求包括系统集成资质、人员资质、第三方服务资质、安全产品资质、工程监理资质、法律法规政策符合性要求;组织保证要求包括定义组织的系统工程过程、改进组织的系统工程过程、过量系列产品演化、管理系统工程支持环境、培训、与供应商协调。
工程实施要求包括管理安全控制、评估影响、评估安全风险、评估威胁、评估脆弱性、建立保证论据、协调安全、监视安全态势、提供安全输入、指定安全要求、验证和确认安全性;项目实施要求包括质量保证、管理配置、管理项目风险、监视技术活动、计划及时活动。
2.8.2.2 基本关系
安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项目实施过程的要求。
2.8.2.3 保护要求的分级方法
由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全工程管理要求逐级增强,体现在随着信息系统安全级别的提高,同一项安全工程管理要求的强度有所增加。例如,三级信息系统安全工程管理要求是在二级安全工程管理要求的基础上,在资格保证、组织保证、工程实施和项目实施的要求强度上都有所增加。在资格保证方面增加了对安全工程监理管理制度的要求;在组织保证方面增加了收集过程资产、确保关键组件的可用性等的要求;在工程实施方面增加了评估安全风险和威胁的可能性等的要求;在项目实施方面增加了沟通配置状况和分析项目问题等的要求。安全工程管理要求的强度的不同,综合体现出不同等级信息系统安全工程管理要求的级差。
2.8.2.4 安全工程流程与安全工程要求
信息系统安全工程的全部流程可被划分为5个阶段,即:起始、设计、建设、运行和维护、废弃。安全保护的各级安全工程要求体现在安全过程的部分或全部阶段中,在全部安全工程要求中,组织保证要求和项目实施要求贯穿于项目实施的各个阶段,而资格保证要求和工程实施要求则与具体的一个或多个项目实施阶段有较强的联系。
2.8.3使用说明
《工程管理要求》不适用于涉密信息系统安全工程建设,对第一级信息系统的安全工程管理要求仅供用户参考,按照自主保护的原则制定安全工程管理体系。
《工程管理要求》给出了各级信息系统建设时在安全工程管理每一方面需达到的要求,不是具体的安全工程管理体系,所以,实现安全工程管理要求的管理体系并不局限于《工程管理要求》给出的内容,要结合系统建设的特点综合考虑安全管理体系来达到安全工程管理要求提出的保障能力,用户还可以参考《信息化工程监理规范第6部分: 信息化工程安全监理规范》。
《工程管理要求》综合了《信息技术安全性评估准则》、《信息安全管理实用规则》、《系统安全工程能力成熟度模型》和《信息处理系统 开放系统互连 基本参考模型》的有关内容,在进行系统安全工程管理体系建设时可进一步参考这些标准。
信息系统运行使用单位在根据《工程管理要求》进行安全工程管理体系建设时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障及管理体系,提高安全工程的整体管理能力。
对于《工程管理要求》中提出的安全工程管理要求无法实现或有更加有效的安全管理要求可以替代的,可以对安全工程管理要求进行调整,调整的原则是保证不降低整体安全管理能力。
2.9 《信息系统安全等级保护测评要求》(报批稿)
2.9.1 主要用途
根据《
信息安全等级保护管理办法》的规定,信息系统建设完成后,运营使用单位或者其主管部门应当选择符合规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。《信息系统安全等级保护测评要求》(以下简称《测评要求》)依据《信息系统安全等级保护基本要求》规定了对信息系统安全等级保护进行安全测试评估的内容和方法,用于规范和指导测评人员的等级测评活动。
2.9.2 主要内容
2.9.2.1 总体框架
本标准第4章介绍了等级测评的原则、测评内容、测评强度、结果重用和使用方法。第5章至第9章分别规定了对五个等级信息系统进行等级测评的单元测评要求。第10章描述了整体测评的四个方面,即安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构测评安全测评。第11章描述了等级测评结论的产生方法。
2.9.2.2 测评方法和测评强度
本标准中的测评方法主要包括访谈、检查和测试等三种方法。测评机构对不同等级的信息系统需要实施相应强度的测试评估。测评强度反映在三种测评方法的广度和深度上。
2.9.2.3 单元测评
单元测评是针对《基本要求》内容进行的逐项测评,包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个安全技术层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个安全管理方面的内容。单元测评从测评指标、测评实施和结果判定等三方面进行描述。
2.9.2.4 整体测评
整体测评是在单元测评的基础上进行的进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
2.9.3使用说明
《测评要求》针对等级测评提出了单元测评要求和整体测评要求,但未涉及工作过程、任务以及工作产品等内容,相关内容请参考《信息系统安全等级保护测评过程指南》。
测评人员在确定测评内容时,应依据被测信息系统的安全保护等级选择《测评要求》中对应的单元测评内容,并在相关测评结果基础上实施整体测评。
测评结论的产生不能仅依据单项测评结果,而是应该在整体测评基础上,结合被测系统的实际情况,综合评判信息系统是否具备对应等级的安全保护能力。
2.10 《信息系统安全等级保护测评过程指南》(报批稿)
2.10.1主要用途
根据《
信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。为规范等级测评机构的测评活动,保证测评结论准确、公正,《信息系统安全等级保护测评过程指南》(以下简称《测评过程指南》)明确了信息系统等级测评的测评过程,阐述了等级测评的工作任务、分析方法以及工作结果等,为信息系统测评机构、运营使用单位及其主管部门在等级测评工作中提供指导。
2.10.2主要内容
2.10.2.1 总体框架
《测评过程指南》以测评机构对三级信息系统的首次等级测评活动过程为主要线索,定义信息系统等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动等四个活动。其中测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务;方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发及测评方案编制六项任务;现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务;分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项任务。对于每一个活动,介绍了工作流程、主要的工作任务、输出文档、双方的职责等。对于各工作任务,描述了任务内容和输入/输出产品等。
2.10.2.2 等级测评工作流程。
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
测评准备活动。测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。其主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。测评准备活动的基本工作流程及任务主要包括等级测评项目启动、信息收集和分析、工具和表单准备。
方案编制活动。方案编制活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。其主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。方案编制活动的基本工作流程及任务见图4:
