信息安全等級合規測評

合規，簡而言之就是要符合法律、法規、政策及相關規則、標準的約定。在信息安全領域內，等級保護、分級保護、塞班斯法案、計算機安全產品銷售許可、密碼管理等，是典型的合規性要求。

信息安全合規測評是國家強制要求的，信息系統運營、使用單位或者其主管部門，必須在系統建設、改造完成后，選擇具備資質測評機構，依據信息安全合規性要求，對信息系統是否合規進行檢測和評估的活動。信息安全合規測評具有強制性和周期性（定期檢測），是國家信息安全部門督促合規性要求落地實施，保障信息安全的重要手段。

一、信息安全合規性要求

1、等級保護

等級保護將信息系統按照價值系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別劃分五個等級進行保護。其分級、分區域、分類和分階段是做好國家信息安全保護的前提。等級保護依據公安部、×××、×××和國信辦先后聯合下發《關于信息安全等級保護工作的實施意見》、《信息安全等級保護信息安全等級保護管理辦法》開展。

2、分級保護

分級保護針對的是涉密信息系統，根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級?！痢痢翆ｉT對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。

國家保密科技測評中心是我國唯一的涉密信息系統安全保密測評機構，山東省軟件評測中心是國家保密科技測評中心在山東省設立的分中心。

3、塞班斯法案

針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯合提出，又被稱作《2002年塞班斯-奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業監管、公司治理、證券市場監管等方面做出了許多新規定。

塞班斯法案成為在美上市企業躲不過去的坎。它規定，上市公司的財務報告必須包括一份內控報告，并明確規定公司管理層對建立和維護財務報告的內部控制體系及相應控制流程負有完全責任；此外，財務報告中必須附有其內控體系和相應流程有效性的年度評估。它的出臺意味著在美國上市的公司不僅要保證其財務報表數據的準確，還要保證內控系統能通過相關審計。

4、計算機信息系統安全專用產品銷售許可

計算機信息系統安全專用產品銷售許可證是為了加強計算機信息系統安全專用產品的管理，保證安全專用產品的安全功能，由公安部公共信息網絡安全監察局頒發的許可證書。

辦理依據：

（1）、《×××計算機信息系統安全保護條例》（1994年2月18日，×××令147號發布）。

（2）、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（1997年12月1日，公安部令第32號）。

(3)、《計算機病毒防治管理辦法》（2000年4月26日，公安部令第51號）。

審批辦理流程：

(1)、產品檢測。申請單位須將樣品送指定檢測機構進行檢測。

(2)、申請×××。檢測合格后，申請單位按規定提交證書申請的相關材料。

(3)、審批發證。公安部公共信息網絡安全監察局。

5、信息系統密碼安全管理

為推動商用密碼發展，確保國家重要信息系統密碼安全，具備檢測資質的機構依據《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術實施要求》《信息系統安全等級保護基本要求》，對信息安全等級為三級以上（含三級）信息系統中的商用密碼系統進行測評。的商用密碼系統安全等級保護測評工作擬分以下三個階段：測評申請階段、現場檢測階段、報告與結論階段。

在信息安全合規性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業化和復雜性的特點，成為信息安全合規測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。

二、區分信息安全等級保護與分級保護

通過上文我們知道，信息安全等級保護與分級保護是在信息安全合規測評中兩個非常重要的概念，二者密切相關又有區別。山東省軟件評測中心結合在等級保護測評和分級保護測評中的具體實踐，對等級保護和分級保護進行詳細介紹，理清兩者間的關聯。

1、信息系統等級保護

由于信息系統結構是應社會發展、社會生活和工作的需要而設計、建立的，是社會構成、行政組織體系的反映，因而這種系統結構是分層次和級別的，而其中的各種信息系統具有重要的社會和經濟價值，不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律，其分級、分區域、分類和分階段是做好國家信息安全保護的前提。

信息系統安全等級保護將安全保護的監管級別劃分為五個級別：

第一級：用戶自主保護級完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統審計保護級本級的安全保護機制受到信息系統等級保護的指導，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。

第三級：安全標記保護級除具有第二級系統審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監督、審計。

第四級：結構化保護級將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。

第五級：訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權獲取。

在等級保護的實際操作中，強調從五個部分進行保護，即：

物理部分：包括周邊環境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設備的標識、使用、存放和管理等；

支撐系統：包括計算機系統、操作系統、數據庫系統和通信系統；

網絡部分：包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警，網絡***的監察和處理；

應用系統：包括系統登錄、權限劃分與識別、數據備份與容災處理，運行管理和訪問控制，密碼保護機制和信息存儲管理；

管理制度：包括管理的組織機構和各級的職責、權限劃分和責任追究制度，人員的管理和培訓、教育制度，設備的管理和引進、退出制度，環境管理和監控，安防和巡查制度，應急響應制度和程序，規章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機制構成系統整體安全控制機制。

2、涉密信息系統分級保護

涉密信息系統實行分級保護，先要根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級；涉密信息系統分級保護的核心是對信息系統安全進行合理分級、按標準進行建設、管理和監督?！痢痢翆ｉT對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統有明確的分級保護措施，從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。

涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：

秘密級：信息系統中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。

機密級：信息系統中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級（增強）的要求：

（1）信息系統的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門；

（2）信息系統中的機密級信息含量較高或數量較多；

（3）信息系統使用單位對信息系統的依賴程度較高。

絕密級：信息系統中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求，絕密級信息系統應限定在封閉的安全可控的獨立建筑內，不能與城域網或廣域網相聯。

涉密信息系統要按照分級保護的標準，結合涉密信息系統應用的實際情況進行方案設計。涉密信息系統定級遵循“誰建設、誰定級"的原則，可以根據信息密級、系統重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進行相應的保護。建設完成之后應該進行審批；審批前由×××授權的涉密信息系統測評機構進行系統測評（山東省軟件評測中心是山東省內唯一的涉密信息系統檢測機構），確定在技術層面是否達到了涉密信息系統分級保護的要求。

3、等級保護和分級保護之間的關系

國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統，而不論它是否涉密。如：國家事務處理信息系統（黨政機關辦公系統）；金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統；國防工業企業、科研等單位的信息系統等。

涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位，由各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全，確保國家秘密不被泄漏。

國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。而涉密信息系統分級保護則是是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

三、等級合規測評的主要內容

1、單元測評。單元測評從信息安全管理制度、信息安全管理機構、人員安全管理、信息系統建設管理、信息系統運維管理、物理安全、網絡安全、主機安全、應用安全、數據安全等層面，測評《信息系統安全等級保護基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系統中的實施配置情況。

2、整體測評。整體測評主要測評分析信息系統的整體安全性。在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等，是在單元測評基礎上進行的進一步測評分析。

四、等級合規測評的重要作用

1、等級合規測評是落實信息安全等級保護制度的重要環節

在信息系統建設、整改時，信息系統運營、使用單位通過等級測評進行現狀分析，確定系統的安全保護現狀和存在的安全問題，并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始，等級保護基本要求是對不同等級信息系統實行等級保護的基礎?？蛻艨梢曰诙壷改蠈π畔⑾到y定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關等級保護的制度要求和文件精神。

2、等級測評報告是信息系統開展整改加固的重要指導性文件，也是信息系統備案的重要附件材料

等級測評結論為信息系統未達到相應等級的基本安全保護能力的，運營、使用單位應當根據等級測評報告，制定方案進行整改，盡快達到相應等級的安全保護能力。

3、等級測評使整個組織規范一致的開展等級評定工作

合規測評基于客戶的組織架構、運作模式等特點，制定信息系統安全保護等級定級指南，明確在組織內開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。 

4、確保突出重點保護對象并進行適度保護

信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求，基于信息系統安全等級保護基本要求，合規測評可使客戶在符合國家法律法規要求的前提下，針對不同等級信息系統采取相應等級的保護措施，從而確保重點突出、適度保護，節省IT投資。 

5、等級測評提高內部人員的信息安全意識

合規測評過程中，第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流，以及精心設計的調查問卷等，被服務單位的管理、業務、技術等人員將逐步提高對信息安全合規的認識，強化信息安全意識，杜絕違規操作。

作為第三方測評機構，山東省軟件評測中心認為，通過等級合規測評可指導用戶在各個層面上綜合采取多種保護措施，保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。

五、等級合規測評的操作流程

要充分發揮等級測評對信息安全的保障作用，就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下：

1、測評準備活動 

本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

2、方案編制活動 

本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

3、現場測評活動 

本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

4、分析與報告編制活動 

本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

六、等級合規測評的關鍵點

確定了等級測評的具體流程，是為開展測評工作奠定了堅實基礎，但是還要關注在具體環節上關鍵要素，它們對測評工作的成效高低具有重大影響。

1、等級測評的方法和強度

等級測評的基本方法一般包括訪談、檢查和測試等三種。

訪談是測評人員通過與被測評單位的相關人員進行交談和問詢，了解被測信息系統安全技術和安全管理方面的相關信息，以對測評內容進行確認。

檢查是測評人員通過簡單比較或使用專業知識分析的方式獲得測評證據的方法，包括：評審、核查、審查、觀察、研究和分析等方法。

測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法，包括功能測試、性能測試、***測試等。 

等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度，廣度體現在訪談人員的構成和數量上；檢查的深度體現在檢查過程的嚴格和詳細程度，廣度體現在檢查對象的種類（文檔、機制等）和數量上；測試的深度體現在執行的測試類型上（功能/性能測試和***測試），廣度體現在測試使用的機制種類和數量上。

2、等級測評對象

測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。

測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。

七、等級合規測評的指標

開展等級測評活動應從《信息系統安全等級保護基本要求》（GB/T 22239-2008）中選擇相應等級的安全要求作為基本測評指標。

1、第二級信息系統等級測評指標，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求（177個控制點）作為基礎測評指標以外，還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

2、第三級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求（290個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

3、第四級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求（317個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

4、對于由多個不同等級的信息系統組成的被測系統，應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系，而且測評指標不能分開，則不能分開的測評指標應采用就高原則。

八、高效等級測評工作的注意事項

為了保障等級測評取得真正的成效，在測評之前，需要認真籌備；測評過程中依照相關規定，強化管理。同時，在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗，都已經在山東省軟件測評中心的實踐中得到驗證，成效顯著。

1、認真做好等級測評質量保障工作

等級測評機構開展測評前應與委托單位聯合成立等級測評工作組，建立通暢的溝通聯絡機制，確保等級測評活動的順利開展。

等級測評機構開展等級測評時，必須保證足夠的現場測評等級測評師。

開展第二級信息系統的等級測評活動時，測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動；開展第三級信息系統的等級測評活動時，測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動；開展第四級信息系統的等級測評活動時，測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。

等級測評機構開展等級測評時，應當投入滿足測評需要的拓撲發現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、******集成設備等功能測試、性能測試、***測試工具以及必要的交通、通信設備。

等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業務系統等級測評全過程，一般不少于5個工作日。第三級信息系統單個業務系統等級測評全過程，一般不少于10個工作日。第四級信息系統單個業務系統等級測評全過程，一般不少于20個工作日。

等級測評活動中，測評機構需要提交給委托方的資料不少于以下紙質文檔：項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見

2、嚴格等級測評管理

信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構，按照《信息系統安全等級保護測評要求》等技術標準，定期對信息系統的安全狀況開展等級測評。

第三級信息系統應每年進行一次等級測評，第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發生重大改變時，應及時安排等級測評。等級測評活動結束后，測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告，并應同時向省、市兩級等保辦提交第三級（含）以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的，由等級測評機構提出安全建設整改意見，運營、使用單位應當及時制定方案進行整改。

省內信息系統的等級測評工作原則上由省內等級測評機構完成，特殊行業等級測評機構或省外其他等級測評機構在省內開展等級測評活動時，應在省等保辦辦理登記備案手續，按照本規范開展等級測評活動，并接受省等保辦的監督管理。

測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持，但不得從事下列活動：

(1)、影響被測評信息系統正常運行，危害被測評信息系統安全；

(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密；

(3)、故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

(4)、未按規定格式出具等級測評報告；

(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件；

(6)、分包或轉包等級測評項目；

(7)、從事信息安全產品開發、銷售和信息系統安全集成；

(8)、限定被測評單位購買、使用其指定的信息安全產品；

(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

九、等級合規測評中應當嚴格遵循的五個原則

1、客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。

2、充分性原則。為客觀反映被測評信息系統的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業標準的測評指標的要求。

3、經濟性原則。測評活動應盡可能降低成本，減少投入?；跍y評成本和工作復雜性，鼓勵測評工作部分使用能反映信息系統當前安全狀態的已有測評結果，包括商業安全產品測評結果和信息系統已有的安全測評結果。

4、結果一致性原則。針對同一信息系統的等級測評，不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致，同一測評機構重復執行相同測評過程得出的結果應當一致。