信息系统安全等级保护测评方法（v3）.pdf

等级测评师培训 信息系统安全等级保护测评方法 公安部信息安全等级保护评估中心 李明 培训目的 了解等级测评的目的和特点； 掌握 《测评要求》的概念和基本内容； 能够编制测评方案； 能够开发测评指导书。 2 内容目彔 1. 等级测评 2. 《测评要求》概述 3. 基本概念与主要内容 4. 如何编制测评方案 5. 如何开发测评指导书 3 几个问题 为什么需要对信息系统迚行测评？ 为什么需要等级测评？ 什么是“等级测评” ？ 如何开展等级测评？ 4 测评需求 - 内部驱劢力 了解目前的安全保护实际情况 明确安全需求，为后续的建设和整改 工作提供参考/依据。 5 等级测评的需求 - 外部驱劢力 信息安全等级保护管理办法 （公通字【2007】43号）第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选 择符合本办法规定条件的测评机构，依据 《信息系统安全等级 保护测评要求》等技术标准，定期对信息系统安全等级状况开 展等级测评。第三级信息系统应当每年至少进行一次等级测评 ，第四级信息系统应当每半年至少进行一次等级测评，第五级 信息系统应当依据特殊安全需求进行等级测评。 6 等级测评 等级测评是指，测评机构依据国家信息安全 等级保护制度规定，按照有关管理规范和技术标 准，对非涉及国家秘密信息系统安全等级保护状 况迚行检测评估的活劢。 7 测 等级测评项目吭劢 评 准 信息收集与分析 备 测 活 工具和表单准备 劢 评 测评对象确定 测评指标确定 方 过 案 测评工具接入点确定 编 制 测评内容确定 程 活 劢 测评指导书开发 测评方案编制 沟 通 现 测评实施准备 与 场 洽 测