服務(wù)器安全等級(jí)保護(hù)流程

等級(jí)保護(hù)流程是什么？信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備活動(dòng)的目標(biāo)是順利啟動(dòng)測(cè)評(píng)項(xiàng)目，準(zhǔn)備測(cè)評(píng)所需的相關(guān)資料，為順利編制測(cè)評(píng)方案打下良好的基礎(chǔ)。

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備活動(dòng)包括項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備三項(xiàng)主要任務(wù)。

一、項(xiàng)目啟動(dòng)

在項(xiàng)目啟動(dòng)任務(wù)中，測(cè)評(píng)機(jī)構(gòu)組建等級(jí)測(cè)評(píng)項(xiàng)目組，獲取測(cè)評(píng)委托單位及被測(cè)系統(tǒng)的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)等級(jí)測(cè)評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。

任務(wù)描述：

a) 根據(jù)測(cè)評(píng)雙方簽訂的委托測(cè)評(píng)協(xié)議書和系統(tǒng)規(guī)模，測(cè)評(píng)機(jī)構(gòu)組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書。項(xiàng)目計(jì)劃書應(yīng)包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等。

b) 測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)委托單位提供基本資料，包括：被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、系統(tǒng)驗(yàn)收?qǐng)?bào)告、安全需求分析報(bào)告、安全總體方案、自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有），測(cè)評(píng)委托單位的信息化建設(shè)狀況與發(fā)展以及聯(lián)絡(luò)方式等。

二、 信息收集和分析

測(cè)評(píng)機(jī)構(gòu)通過查閱被測(cè)系統(tǒng)已有資料或使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫測(cè)評(píng)方案和開展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。

被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、系統(tǒng)驗(yàn)收?qǐng)?bào)告、安全需求分析報(bào)告，安全總體方案、自查或上次等級(jí)測(cè)評(píng)報(bào)告（如果有）。

任務(wù)描述：

a) 測(cè)評(píng)機(jī)構(gòu)收集等級(jí)測(cè)評(píng)需要的各種資料，包括測(cè)評(píng)委托單位的各種方針文件、規(guī)章制度及相關(guān)過程管理記錄、被測(cè)系統(tǒng)總體描述文件、詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全詳細(xì)設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置管理文檔等。

b) 測(cè)評(píng)機(jī)構(gòu)將調(diào)查表格提交給測(cè)評(píng)委托單位，督促被測(cè)系統(tǒng)相關(guān)人員準(zhǔn)確填寫調(diào)查表格。

c) 測(cè)評(píng)機(jī)構(gòu)收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和熟悉被測(cè)系統(tǒng)的實(shí)際情況。分析的內(nèi)容包括被測(cè)系統(tǒng)的基本信息、物理位置、行業(yè)特征、管理框架、管理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署情況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶范圍、用戶類型、被測(cè)系統(tǒng)所處的運(yùn)行環(huán)境及面臨的威脅等。這些信息可以重用自查或上次等級(jí)測(cè)評(píng)報(bào)告中的可信結(jié)果。

d) 如果調(diào)查表格填寫不準(zhǔn)確或不完善或存在相互矛盾的地方較多，測(cè)評(píng)機(jī)構(gòu)應(yīng)安排現(xiàn)場(chǎng)調(diào)查，與被測(cè)系統(tǒng)相關(guān)人員進(jìn)行面對(duì)面的溝通和了解。

三、工具和表單準(zhǔn)備

測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，應(yīng)熟悉與被測(cè)系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。

任務(wù)描述：

a) 測(cè)評(píng)人員調(diào)試本次測(cè)評(píng)過程中將用到的測(cè)評(píng)工具，包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。

b) 測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。

c) 準(zhǔn)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。