【GA公共安全标准】 信息安全技术信息系统安全管理测评

ICS35.020
中华人民共和国公共安全行业标准GA/T713—2007
信息安全技术
信息系统安全管理测评
Information security technology-Information system security management testing and evaluation2007-08-13发布
数码防伪
中华人民共和国公安部
2007-10-01实施
规范性引用文件
术语和定义
管理评估的基本原则
评估方法
调查性访谈
调查性访谈主要对象
调查性访谈准备
5.1.3调查性访谈阶段划分
调查性访谈质量控制
符合性检查
符合性检查主要对象
符合性检查方法
符合性检查质量控制
5.3有效性验证
有效性验证主要对象
有效性验证方法
有效性验证质量控制
5.4监测验证
监测验证的主要依据
5.4.2监测验证方法
5.4.3监测验证质量控制
6评估实施
6.1确定评估目标
6.2控制评估过程
6.3处理评估结果
建立保障证据
7分等级评估
7.1第一级：用户自主保护级.
7.1.1管理目标和范围评估
7.1.2策略和制度评估
7.1.3机构和人员普理评估
7.1.4风险管理评估
环境和资源管理评估
运行和维护管理评估
业务连续性管理评估
GA/T713—2007
GA/T713—2007
7.1.8监督和检查管理评估
7.1.9生存周期管理评估….
7.1.10实施原则及方法
7.2第二级：系统审计保护级
管理目标和范围评估
策略和制度评估
机构和人员管理评估
风险管理评估·
环境和资源管理评估
运行和维护管理评估.
业务连续性管理评估.
监督和检查管理评估.
生存周期管理评估
实施原则及方法
第三级：安全标记保护级
管理目标和范围评估·
策略和制度评估.··
机构和人员管理评估…
风险管理评估·
环境和资源管理评估
运行和维护管理评估·
业务连续性管理评估.
监督和检查管理评估·
生存周期管理评估…
实施原则及方法
7.4第四级：结构化保护级
管理目标和范围评估
策略和制度评估
机构和人员管理评估·
风险管理评估：
环境和资源管理评估·
运行和维护管理评估·
业务连续性管理评估
监督和检查管理评估·
生存周期管理评估
实施原则及方法
第五级：访问验证保护级
管理目标和范围评估
策略和制度评估
机构和人员管理评估
风险管理评估
环境和资源管理评估-
运行和维护管理评估·
查标准上建标网wwiz321.net
业务连续性管理评估
监督和检查管理评估
生存周期管理评估
实施原则及方法
附录A（资料性附录）
参考文献
安全管理评估内容
查标准上建标网wiz321.net
GA/T713—2007
建标网wwiz321.net
查标准上
本标准的附录A为资料性附录。
本标准由公安部信息系统安全标准化技术委员会提出并归口。GA/T713—2007
本标准起草单位：北京江南天安科技有限公司，北京思源新创信息安全资讯有限公司。本标准主要起草人：陈冠直、王志强、吉增瑞、景乾元、宋建平。1范围
信息安全技术
信息系统安全管理测评
GA/T713—2007
本标准规定了按照GB17859一1999等级划分的要求对信息系统实施安全管理评估的原则和方法。
本标准适用于相关组织机构（部门）对信息系统实施安全等级保护所进行的安全管理评估与自评估。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标推达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859一1999计算机信息系统安全保护等级划分准则GB/T20269—2006信息安全技术信息系统安全管理要求3术语和定义
GB17859-1999.GB/T20269—2006确立的以及下列术语和定义适用于本标准。3.1
安全审计securityaudit
对信息系统记录与活动的独立的审查和检查，以测试系统控制的充分程度，确保符合已建立的安全策略和操作过程，检测出安全违规，并对在控制，安全策略和过程中指示的变化提出建议。3.2
风险评估riskassessment
风险识别，分析，估值的全过程，其自标是确定和估算风险值。3.3
安全策略securitypolicy
一个组织为其运转而规定的一个或多个安全规则、规程、惯例和指南。3.4
监测验证validatebyinspectandtest通过对与安全管理有关的监测信息（包括审计信息以及各种监测、监控机制收集的信息）的分析，对安全管理实施的有效性进行验证的过程。4管理评估的基本原则
对信息系统安全管理的评估应坚持科学性、有效性、公正性等基本原则，即评估的原理、方法、流程、具体要求是科学的、正确的；评估的方法、流程等是可操作的，成本和效率等方面可接受；评估结果是客观公正的，评估机构是中立权威的。还应遵循以下原则：有效性原则：根据GB/T20269一2006充分考虑信息系统功能，信息资产的重要性，可能受到的威胁及面临的风险，评估整个安全管理体系的有效性；1
GA/T713—2007
体系化原则：根据GB/T20269一2006中4.2的信息系统安全管理原则，针对安全管理体系基本要素，评估安全管理体系是否完整。比较完整的安全管理体系应基本涵盖GB/T20269一2006中4.1的各项；
标准化原则：根据GB/T20269一2006各保护等级的安全管理自标，重点检查，评估安全管理标准化工作情况，识别和理解信息安全保障相互美联的层面和过程，采用管理和技术结合的方法，提高实现安全保障目标的有效性和效率，一致性原则：根据GB/T20269一2006各保护等级系统的安全管理应贯穿整个信息系统的生存周期，评估时重点检查信息系统设计、开发、部署、运维各个阶段的安全管理措施是否都到位：
一一风险可控性原则：信息安全管理工作是信息系统安全稳定运行的基础，安全管理的安全性直接决定了信息与信息系统的安全性，在评估管理体系时，应注意相关安全管理的可靠性，可控性，确保管理行为和风险得到控制；安全管理保证原则：根据GB/T20269一2006各保护等级安全管理条款，要求评估时应根据信息系统安全管理工作的保证情况，实事求是地根据实际保证证据决定是否达到相应保护等级安全管理要求的标准；
客观性和公正性原则：评估工作应摆脱自身偏见，避免主观臆断，坚持实事求是，按照评估工作相关各方相互认可的评估计划和方案，基于明确定义的评估要求，开展评估工作，给出可靠结论。
5评估方法
5.1调查性访谈
5.1.1调查性访谈主要对象wwW.bzxz.Net
调查性访谈的主要对象一般可以包括：组织的领导，信息化主管领导，信息部门领导：一物理安全主管及资产管理，机房值守，机房维护人员：一运行维护主管及网络管理、系统管理、数据库管理、应用软件维护、硬件维护、文档介质管理人员：
信息安全主管及安全管理，审计管理人员系统建设主管及建设管理、软件开发、系统集成人员：外包服务方主管及外包方运行、维护人员：一业务部门主管，以及应用管理、业务应用、业务操作人员；一人事部门主管，以及人事管理、应用培训人员等。5.1.2调查性访谈准备
调查性访谈前，应准备调查问卷，提高访谈效率。针对信息系统安全管理体系各安全保护等级的要求准备调查问卷时应保证结构清晰、系统、详细，确保问题的答案是“是/否/不确定”。对等级要求明确的内容应建立检查表，确保检查表结构清晰，提高数据取得的一致性。5.1.3调查性访谈阶段划分
调查性访谈是从被评估单位相关组织中的成员以及其他机构获得评估证据的一种方法。实施调查性访谈时，应明确评估不同阶段的目标和任务。调查性访谈应划分为以下阶段：a）初步访谈：初步访谈用于收集信息安全管理体系的一般信息，策划后续各种访谈战略：实事收集访谈：实事收集访谈主要用于根据安全管理体系特定要求，针对特定对象的访谈；b)
后续深人访谈：后续深人访谈主要是在对事实收集访谈收集到的信息进行分析并发现问题后进行的，自的是寻找解决问题的答案；2
GA/T713—2007
d）结案性访谈：结案性访谈是指评估工作结束时的会议，通过与被评估单位进行会议讨论，保证评估结论，评估发现、建议的正确性。5.1.4调查性访谈质量控制
对调查性访谈的质量，应从访谈对象的广度和访谈内容的深度进行控制，根据不同安全等级的不同要求，调查性访谈的质量控制分为：a）一级控制，包括下列要求：
访谈对象以负责人为主；
进行一般性访谈，内容可简要，对安全管理规范，安全管理机制以及安全管理工作相关的基本情况有一个广泛、大致了解。b）二级控制，包括下列要求：
一访谈对象以负责人，技术人员为主，必要时可选择操作人员；一进行重点访谈，内容应充分，对安全管理规范、安全管理机制以及安全管理工作相关的具体情况有较深人了解。
c）三级控制，包括下列要求：
访谈对象以负责人，技术人员、操作人员为主，必要时可选择其他相关人员；进行全面访谈，内容应覆盖各方面；对安全管理规范、安全管理机制以及安全管理工作的具体情况有全面了解。
d）四级控制，包括下列要求：
一访谈对象以负责人，技术人员，操作人员为主，并选择其他相关人员；一进行全面访谈，访谈内容应覆盖各方面；对安全管理体系相关的具体方面进行研究性或探究性讨论，力求准确、全面掌握安全管理要求落实情况细节。e）五级控制，包括下列要求：
访谈对象以负责人，技术人员，操作人员为主，并选择保密部门及其他相关人员：进行全面访谈，访谈内容应覆盖各方面，或设定专项内容；对安全管理体系的具体方面进行研究性或探究性讨论，应准确、全面掌握安全管理要求落实情况细节。5.2符合性检查
5.2.1符合性检查主要对象
符合性检查的主要对象包括：
a）信息安全方针、政策、计划、规程、系统要求文档：b）系统设计和接口规格文档；
c）系统操作、使用、管理及各类日志管理的相关规定：备份操作，安全应急及复审和意外防范计划演练的相关文档；d)
e）安全配置设定的有关文档；
技术手册和用户/管理员指南：
g）其他需要进行符合性检查的内容。5.2.2符合性检查方法
符合性检查可以采用以下方法：a）根据安全管理标准和被评估单位的安全管理体系相关文件的要求，检查安全管理运行过程或各个环节的文档的具体规定是否与有关要求相一致，必要时可以对相关的材料（如记录、日志、报告、检验/评估/审计结果等)进行评价；为了减少评估对象的工作量，评估人员应尽最大可能重复使用以前的安全管理控制评价的结b)
果和证据（当有这样的结果可供使用的时候，信息系统应该没有发生过有可能造成结果无效的重大变更，而且应证明这些结果是可靠的）。3
GA/T713—2007
5.2.3符合性检查质量控制
对符合性检查的质量，应从检查对象的广度和检查内容的深度进行控制。根据不同安全等级的不同要求，符合性检查的质量控制分为：a）一级控制，包括下列要求
对符合性检查的对象的种类和数量上抽样，种类和数量都较少；进行一般检查，利用有限证据或文件对安全管理控制进行概要的高层次检查、观察或核查，这类检查通常是利用规范，机制或活动的功能层面描述进行的。b）二级控制，包括下列要求：
对符合性检查的对象的种类和数量上抽样，种类和数量都较多：一进行重点检查，利用大量证据或文件对安全管理控制进行详细分析检查，这类检查通常是利用规范、机制、活动的功能层面描述或者高层次设计信息进行的。c）三级控制，包括下列要求：
对符合性检查的对象的种类和数量上抽样，基本覆盖；进行较全面检查，在重点检查的基础上，对主要安全管理控制措施实施的相关信息进行检查。
d）四级控制，包括下列要求：
一对符合性检查的对象应逐项进行检查；一进行全面检查：在重点检查的基础上，对各项安全管理控制措施实施的相关信息进行检查。
e）五级控制，包括下列要求：
-对符合性检查的对象应逐项检查，或设定专项内容；-进行全面深入检查：在重点检查的基础上，对各项安全管理控制措施实施的相关信息进行检查，对设定专项内容进行专门检查。5.3有效性验证
5.3.1有效性验证主要对象
有效性验证的对象主要是安全管理机制，具体对象是：针对访问控制策略、制度，采用验证工具进行功能性验证：a）
针对标识与鉴别和审计机制的功能检验；b)
针对安全配置设定的功能检验；c
针对物理访问控制的功能检验；d)
针对信息系统备份操作的功能检验；e)
针对事件响应和意外防范规划能力的检验。f
5.3.2有效性验证方法
针对被评估组织确立的安全管理目标，通过对管理活动的实际考查，验证安全管理体系的运行效果，以及能否获得预期的目标。有效性验证方法及评价主要包括：检查信息系统的管理者是否已经按GB/T20269--2006的要求建立了文件化的安全管理体a)
系，即过程已经被确定，过程程序已经恰当地形成了文件。检查被确定的过程是否已经得到了充分的展开，即按过程程序的要求得到了贯彻实施。b)
检查过程程序的贯彻实施是否取得了预期期望的结果，并以此证明过程是有效的。d）有效性可从以下方面进行评价：一管理控制措施：如方针策略、业务目标、安全意识等方面；业务流程：如风险评估和处理、选择控制措施等：一运营措施：如操作程序、备份、防范恶意代码、存储介质等方面；4
一技术控制措施：如防火墙、人侵检测、内容过滤、补丁管理等；一审核、回顾和测试：如内审、外审、技术符合性等。5.3.3有效性验证质量控制
GA/T713—2007
对有效性验证的质量，应从验证对象的广度和验证内容的深度进行控制。根据不同安全等级的不同要求，有效性验证的质量控制分为：a）一级控制，包括下列要求：
一必要时可进行简要验证，以验证信息系统安全管理体系相关文件材料的完整性和可操作性为主，对贯彻实施的情况有初步的了解；对有效性验证的对象以验证管理控制措施为主。b）二级控制，包括下列要求：
应进行简要验证，以验证信息系统安全管理体系相关文件材料的完整性和可操作性为主，对贯彻实施的情况有基本的了解：对有效性验证的对象以验证管理控制措施为主，兼顾其他方面。c）三级控制，包括下列要求：
应进行充分验证，在简要验证的基础上，以验证信息系统安全管理体系相关文件得到贯彻实施为主，对贯彻实施的效果有充分的了解；一对有效性验证的对象以验证管理控制措施，业务流程，运营措施，技术控制措施为主，兼顾其他方面。
d）四级控制，包括下列要求：
应进行较全面验证，在充分验证的基础上，以验证贯彻实施是否取得了预期期望的结果，对贯彻实施的效果有较全面的了解；对有效性验证的对象以验证管理控制措施、业务流程、运营措施、技术控制措施为主，还应验证内审、外审，技术符合性等方面。e）五级控制，包括下列要求：
一应进行全面验证，或设定专项验证，以验证贯彻实施是否取得了预期期望的结果，对贯役实施的效果有全面的了解；
对有效性验证的对象以验证管理控制措施，业务流程，运营措施，技术控制措施为主，还应验证内审，外审，技术符合性等方面，对设定专项内容进行专门验证。5.4监测验证
5.4.1监测验证的主要依据
安全管理监测验证的主要依据是与安全管理有关的审计信息和监测，监控信息，包括：a）信息系统的各种审计信息，如操作系统、数据库管理系统、应用系统、网络设备、安全专用设备以及终端设备等生成的安全审计信息；信息系统的各种安全监测、监控信息，包括独立监测、监控设备和集中管控的监测、监控设备b)
所收集的信息；
信息系统的物理环境的有关的安全监测、监控信息，如门禁系统、机房屏蔽系统、温湿度控制系统、供电系统、接地系统、防雷系统等收集的安全监测、监控信息；d）其他涉及信息系统安全管理方面的监测、监控信息。5.4.2监测验证方法
安全管理监测验证的方法包括：以对安全管理的有关信息的分析为依据，对安全策略、操作规程和规章制度的符合性、一致性a)
程度逐一进行评价。
b）安全管理监测验证分为：
GA/T713—2007
一简单的监测验证：
充分的监测验证；
全面的监测验证。
c）安全管理监测验证的过程，包括搜集素材、加工整理、综合评价、把握主题，以及形成报告等。5.4.3监测验证质量控制
对监测信息验证的质量，应从监测验证的广度和监测验证的深度进行控制。根据不同安全等级的不同要求，监测验证的质量控制分为：a）一级控制，包括下列要求：
可进行简单的监测验证，通过对规章制度的符合性进行典型分析，了解安全管理实施的基本情况；
一以操作系统、数据库管理系统的审计信息为基本依据，进行监测验证：可通过对特定时段的审计信息的分析进行监测验证。b）二级控制，包括下列要求：
应进行简单的监测验证，通过对操作规程和规章制度的符合性进行分析，了解安全管理实施的主要情况；
应以操作系统、数据库管理系统、应用系统、网络设备、安全专用设备等的审计信息为主要依据进行监测验证；
应通过对特定时段的监测信息的分析进行检测验证。c）三级控制，包括下列要求：
一应进行充分的监测验证，通过对安全策略、操作规程和规章制度的符合性进行综合性分析，充分了解安全管理实施的效果：应以操作系统、数据库管理系统、应用系统、网络设备、安全专用设备等的审计信息，信息系统的部分安全监测、监控信息，以及部分物理环境的安全监测、监控信息为依据，通过对这些信息的分析进行监测验证；一应通过对较长的特定时段的监测信息的分析进行检测验证。d）四级控制，包括下列要求：
应进行较全面的监测验证，通过对安全策略、操作规程和规章制度的符合性、一致性进行综合性分析，验证安全管理实施是否取得了预期的结果，较全面的了解安全管理实施的效果：
一应以操作系统、数据库管理系统、应用系统、网络设备、安全专用设备、端设备等的审计信息，信息系统的各种安全监测、监控信息，以及物理环境的安全监测、监控信息为依据，通过对这些信息的分析进行较全面的监测验证；应通过对较长时段的连续监测信息的分析进行检测验证。e）五级控制，包括下列要求：
一应进行全面的监测验证，通过对安全策略、操作规程和规章制度的符合性、一致性进行综合性分析。以及对设定专项进行专题分析，验证安全管理实施是否取得了预期期望的结果，全面了解安全管理实施的效果；应以操作系统、数据库管理系统、网络设备系统、应用系统、安全专用设备、端设备等的审计信息，信息系统的各种安全监测、监控信息，以及物理环境的安全监测、监控信息为依据，通过对这些信息的分析进行全面的监测验证；一应通过对长期的连续监测信息的分析进行监测验证。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。