国标28449 2018 测评过程指南

等级测评工作概述

概念

等级测评是指，测评机构依据国家信息安全等级保护度规定，按照有关管见范和技术标准，对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测评估的活动。

与22239《基本要求》的关系

《测评要求》针对《基本要求》中各要求顶给出了具体测评对象、测评实施的主要活动判定准则等。以此为基础，评定定级对象的安全保护能力是否符合相应等级的《基本要求》。

《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作，并对如何使用《测评要求》提出指导建议。

一者共同指导等级测评工作。

等级保护工作的对象

等级保护对象

基础网络设施、信息系统、工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统、大数据平台、大数据等。

定级对象

具有单一等级的等级保护对象，是等级测评的执行对象。

测评对象

测评活动作用的对象。

测评方法

访谈

测评人员通过引导相关人员进行有目的的（有针对性的）交流以帮助测评人员理解，澄清或取得证据的过程。

核查

测评人员通过对测评对象（如制度文档、各类设备及相关安全配置等）进行观察、查验和分析，以帮助测评人员理解、澄清或取得证据的过程。

安全文档：审核安全策略、机房巡检例程；分析软件需求和详细设计

安全功能：核查、观察安全部件/功能的运行

安全行为：观察备份恢复操作或应急演练等

测试

测评人员使用顶定的方法、工具使测评对象（各类设番或安全配置）产生特定的结果，将还行结果与顸期的结果迸行比对的过程。

漏洞扫描

渗透测试

通信抓包分析

等等

等级测评强度

测评方法

安全技术方法的测评方法以配置核查和测试验证为主，几乎没有访谈。

安全管理方面可以使用访谈方法进行测评。

设备范围

第一级和第二级测评对象范围为关键设备。

第三级测评对象范围为主要设备，第四级测评对象范围所有设备。

测评实施

第一级和第二级主要以核查机制为主，访谈问題简要、充分，以通用和高级问为主。

第三级和第四级不但核查机制，还要进行测试证，测评策略有效性；访谈问较全面、全面，增加详细、有难度和探索性的问题。

等级测评实施工作

测评流程

测评准备活动

等级测评项目启动

信息收集与分析

工具和表单准备

输入	主要任务	输出
项目计划书，系统调查表格，被测定对象相关的技术资料	项目启动	项目计划书
各种与被测系统相关的技术资料	信息收集和分析	填好的调查表格，各种与被测定级对象相关的技术资料
各种与被测系统相关的技术资料	工具和表单准备	选用的测评工具清单，打印的各类表单：风险告知书、文档交接单、会议记录表单、会议签到表但等

方案编制活动

测评对象确定；测评指标确定

测评内容确定

工具测试方法确定

测评指导书开发

测评方案编制

输入	主要任务	输出
填好的调查表格	测评对象确定	确定出的测评对象列表
填好的调查表格、《基本要求》	测评指标确定	确定出的测评指标
填好的调查表格，确定出的测评对象、测评指标及测试工具接入点	测评内容确定	单元测评内容
填好的调查表格、《测评要求》	工具测试方法确定	确定出的测试工具接入点及测试路径
单元测评内容	测评指导书开发	测评指导书
委托测评协议书、填好的调研表格、确定出的测评对象、测评指标及测试工具接入点，单元测评内容	测评方案编制	测评方案文本

现场测评活动

测评实施准备

现场测评和结果记录

结果确认和资料归还

输入	主要任务	输出
现场测评授权书，测评方案，测评指导书	现场测评准备	会议记录，更新后的测评计划和测评程序，确认的现场测评授权书
测评指导书，测评结果记录表格	现场测评和结果记录	测评结果记录，工具测试完成后的电子输出记录
测评结果记录，工具测试完成后的电子输出记录等	结果确认和资料归还	现场测评中发现的主要问题汇总，证据和证据源记录，测评委托单位对测评结果记录的书面认可

报告编制活动

单项测评结果判定

单元测评结果判定

整体测评

系统安全保障评估

安全问题风险分析

等级测评结论形成

测评报告编制

输入	主要任务	输出
测评结果记录，测评指导书	单项测评结果判定	单项测评结果
单项测评结果	单元测评结果判定	单元测评结果
单元测评结果	整体测评	整体测评结果
整体测评结果	系统安全保障评估	风险分析结果
整体测评结果	安全问题风险分析	风险分析结果
单元测评结果、整体测评结果	等级测评结论形成	等级测评结论
测评方案/测评结果记录，单项测评结果、单元测评结果、整体测评结果、风险分析结果	测评报告编制	测评报告文本