信息系统安全等级测评工具

文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.

信息系统安全

等级测评工具

【服务版】

产品规格说明书（PSI ）

Product Specification Instructions

公安部第三研究所

2022年04月26日

版权所有 侵权必究

文档编码

CRBJ-PMD-PSI 项目管理号 1001-GFCSP-Tech

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. [文档信息]

[版本变更记录]

[文档送呈]

目录

1 产品背景及概述 ................................................ 错误!未定义书签。

1.1 产品背景.................................................... 错误!未定义书签。

1.2 产品概述.................................................... 错误!未定义书签。

2 产品目标及策略 ................................................ 错误!未定义书签。

2.1 产品目标.................................................... 错误!未定义书签。

2.2 产品策略.................................................... 错误!未定义书签。

3 产品执行标准.................................................... 错误!未定义书签。

4 产品说明 ........................................................... 错误!未定义书签。

5 结论 .................................................................. 错误!未定义书签。

1产品背景及概述

1.1 产品背景

随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。

2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）明确指出信息安全保障工作要“实行信息安全等级保护”。

信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。

为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》，明确指出要在三年内在全国范围内推广等级保护制度。

为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿，《信息系统安全等级保护测评准则》已经完

成征求意见稿。

2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了《信息安全等级保护试点工作实施方案》，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。

试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查，了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。

市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体测评结论。

由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在三年内全面实施信息安全等级保护工作的目标，迫切需要信息系统等级保护测评的专用工具，作为信息系统等级测评支撑工具，为提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门，用于定期测试或符合性测评。

因此，专用测评工具将成为信息系统的运营单位、使用单位、安全服务机

构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。

1.2 产品概述

海盾系列信息系统安全等级保护测评工具软件是在国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的等保测评工具软件，不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。

本软件产品的原型来源于国家高技术研究发展计划（863计划）课题《等级保护体系模型、测评方法与支撑工具研究》（2007年01月10日，课题编号：2006AA01Z450）和国家发改委国家信息安全专项项目（发改办高技[2007]2035号文）。软件产品吸取了专家组的意见和建议，在公安部信息安全等级保护评估中心的指导下，经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实际应用。

海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员，指导他们按照标准和规范的测评方法进行测评或自测，并能实现测评的数据、过程标准化管理。

本产品名称为“信息系统安全等级测评工具-服务版”（Information Systems Classified Security Protection Evaluation Utility for Organization），简称等保测评工具服务版，产品编码为CRIT-CS-TB。