软件安全等级测评 信息安全等级测评师

如何评测一个软件系统到底有多安全

信息系统安全等级保护测评准备活动的工作流程：信息系统安全等级保护测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。

信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。

这三项任务的基本工作流程见下图：一、项目启动在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

输入：委托测评协议书。

任务描述：a） 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。

项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。

b） 测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。

输出/产品：项目计划书。

二、 信息收集和分析测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。

输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）。

任务描述：a） 测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。

b） 测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。

c） 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。

分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。

这些信息可以重用自查或上次等级测评报告中的可信结果。

d） 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。

输出/产品：填好的调查表格。

三、工具和表单准备测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。

输入：各种与被测系统相关的技术资料。

任务描述：a） 测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

b） 测评人员模拟被测系统搭建测评环境。

c） 准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。

输出/产品：选用的测评工具清单，打印的各类表单。

有谁知道信息安全等级测评的过程？

完整的等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

如有需要，等级测评还有一个补充测评的过程，补充测评过程主要包括现场测评活动，分析与报告编制活动。

以下是山东省软件评测中心根据多年的测评经验总结出来的4方面活动，仅供参考。

1、测评准备活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。

测评准备工作是否充分直接关系到后续工作能否顺利开展。

本活动的主要任务是掌握被测系统的详细情况，为实施测评做好文档及测试工具等方面的准备。

2、方案编制活动本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。

本活动的主要任务是确定与被测信息系统相适应的具体测评对象、测评内容等，形成测评方案。

3、现场测评活动本活动是开展等级测评工作的核心活动。

本活动的主要任务是按照测评方案的总体要求，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

4、分析与报告编制活动本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。

本活动的主要任务是根据现场测评结果和基本要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成差距分析报告或者系统测评报告文本。

如何评测一个软件系统到底有多安全

信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

山东省软件评测中心就包含此方面的业务，希望能够帮到您。

十大重要标准 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）信息系统安全等级保护测评要求 （应用类测评标准）信息系统安全等级保护测评过程指南 （应用类测评标准）信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 20285-2007 信息安全技术 信息安全事件管理指南GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范其中信息系统安全等级保护测评要求 （应用类测评标准） 信息系统安全等级保护测评过程指南 （应用类测评标准

什么是信息安全等级保护,评测标准？？

十大重要标准 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准） 信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准） 信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准） 信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准） 信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准） 信息系统安全等级保护测评要求 （应用类测评标准） 信息系统安全等级保护测评过程指南 （应用类测评标准） 信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）山东省软件评测中心作为科研事业单位，提供此项服务，如果有不明白的，可以咨询。

...

信息系统安全等级保护测评流程是什么？

信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动.等级测评体系建设主要内容包括测评机构的建设和规范管理，测评人员和测评活动的规范管理等。

信息安全等级保护测评工作是信息安全等级保护工作的重要环节，是专门机构针对信息系统开展的一种专业性、服务性的检测活动。

等级测评工作涉及的信息系统范围广、敏感性强，参与的测评机构及测评人员复杂，如果缺乏对测评机构和测评人员的管理，则难以保证等级测评的客观、公正和安全，甚至会给重要信息系统安全造成新的风险和隐患，危害国家安全和社会稳定。

为加强对测评机构及测评人员管理，稳步推进等级测评机构建设，规范等级测评活动，提高测评机构、人员的技术能力和水平，在国家信息安全等级保护协调小组的领导下，全国组织开展信息安全等级保护等级测评体系建设工作，以保障等级保护工作的顺利开展。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。

因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

...

什么是信息安全等级

信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

山东省软件评测中心就包含此方面的业务，希望能够帮到您。

十大重要标准 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准） 信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准） 信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准） 信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准） 信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准） 信息系统安全等级保护测评要求 （应用类测评标准） 信息系统安全等级保护测评过程指南 （应用类测评标准） 信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20285-2007 信息安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范其中信息系统安全等级保护测评要求 （应用类测评标准） 信息系统安全等级保护测评过程指南 （应用类测评标准...

等级保护测评中要求主机安全哪个系统符合？

处置。

山东省软件评测中心就包含此方面的业务、传输、处理这些信息的信息系统分等级实行安全保护；T20272-2006信息安全技术操作系统安全技术要求GB/T20282-2006）（应用类管理标准）其它相关标准GB/，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应；T20271-2006信息安全技术信息系统通用安全技术要求GB/T25058-2010）（基础类标准）信息系统安全保护等级定级指南（GB/T22240-2008）（应用类定级标准）信息系统安全等级保护基本要求（GB/T22239-2008）（应用类建设标准）信息系统通用安全技术要求（GB/T20271-2006）（应用类建设标准）信息系统等级保护安全设计技术要求（GB/T20270-2006信息安全技术网络基础安全技术要求GB/，希望能够帮到您；T21052-2007信息安全技术信息系统物理安全技术要求GB/T25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（应用类测评标准）信息系统安全等级保护测评过程指南（应用类测评标准）信息系统安全管理要求（GB/T20269-2006）（应用类管理标准）信息系统安全工程管理要求（GB/。

十大重要标准计算机信息系统安全等级保护划分准则（GB17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储 展开

转载请注明出处51数据库 » 软件安全等级测评