网络安全等级保护测评工作流程

一、测评准备活动阶段

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评？验收测评？协助整改？）、项目周期（什么时间进场？项目计划做多长时间？）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

①项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

②系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评项目组进场前，应熟悉被测定级对象，调试测评工具，准备各种表单。

二、方案编制活动阶段

方案编制活动的目的是整理测评准备活动中获取的定级对象资料，为现场测评活动提供最基础文档和测评方案。

方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发、测评方案编制六项主要任务。

①确定测评对象。根据系统调查结果，分析整个被测定级对象业务流程、数据流程、范围、特点确定测评对象，一般采用抽查的方法，即：抽查信息系统中具有代表性的组件作为测评对象。

② 确定测评指标及测评内容。根据被测定级对象结果确定测评的基本指标，根据测评委托单位定级对象业务自身需求确定特殊测评指标。

③ 确定测评工具接入点。一般来说，测评工具的接入采取从外到内，从其他网络到本地网段的逐步逐点接入，即：测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时，测评工具一般接在系统边界设备（通常为交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况；从系统内部与测评对象不同网段接入时，测评工具一般接在与被测对象不在同一网段的内部核心交换设备上；在系统内部与测评对象同一网段内接入时，测评工具一般接在与被测对象在同一网段的交换设备上；结合网络拓扑图，采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。

④ 确定测评内容与方法。将测评对象与测评指标进行映射构成测评内容，并针对不同的测评内容合理地选择测评方法形成具体的测评实施内容。

⑤ 确定测评指导书。测评指导书是指导和规范测评人员现场测评活动的文档，包括测评项、测评方法、操作步骤和预期结果等四部分。在测评对象和指标确定的基础上，将测评指标映射到各测评对象上，然后结合测评对象的特点，选择应采取的测评方法并确定测评步骤和预期结果，形成不同测评对象的具体测评指导书。

⑥ 确定测评方案。综合以上结果内容以及测评工作计划形成测评方案，测评方案主要内容包括测评概述、目标系统概述、定级情况、网络结构、主机设备情况、应用情况、测评方法与工具、测评内容、时间安排、风险揭示与规避等。

三、现场测评活动

现场测评活动通过与测评委托单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。

现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。

①现场测评准备

为保证测评机构能够顺利实施测评，测评准备工作需要包括以下内容：

● 测评委托单位签署现场测评授权书；

● 召开测评现场首次会；

● 测评双方确认现场测评需要的各种资源，包括测评委托单位的配合人员和需要提供的测评条件等，确认被测系统已备份过系统及数据；

● 测评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。

②现场测评和结果记录

现场测评覆盖到被测系统安全技术的5个层面和安全管理的5方面。安全技术的5个层面具体为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；安全管理的5方面具体为：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

③结果确认和资料归还

现场测评结束时，需要做好记录和确认工作，并将测评的结果征得评测双方认同确认。主要包括测评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对漏掉和需要进一步验证的内容实施补充测评；召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认。测评机构归还测评过程中借阅的所有文档资料，并由测评委托单位文档资料提供者签字确认。

四、报告编制活动

测评人员在初步判定单项测评结果后，还需进行单元测评结果判定、整体测评、系统安全保障评估等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。