等級測評工程師培訓(xùn)宣貫

地址：國家863軟件專業(yè)孵化器（上海）基地聯(lián)航路1588號，業(yè)務(wù)受理：欽州路100號1號樓702室熱線電話：021－64511296，網(wǎng)站：WWW.SSTL.ORG.CN

信息安全等級測評

培訓(xùn)宣貫上海計算機(jī)軟件技術(shù)開發(fā)中心

上海市軟件評測重點(diǎn)實(shí)驗(yàn)室2012/03/31主要內(nèi)容等級測評師相關(guān)什么是信息安全等級保護(hù)安全保護(hù)等級的劃分等級保護(hù)工作的職責(zé)分工等級保護(hù)工作的主要流程等級保護(hù)標(biāo)準(zhǔn)體系一、等級測評師培訓(xùn)時間與方式4月初網(wǎng)上培訓(xùn)(遠(yuǎn)程）4月18日北京培訓(xùn)與考核一、等級測評師要求開展等級測評的人員：培訓(xùn)和考試取得《信息安全等級測評師證書》

（等級測評師分為初級、中級和高級）等級測評人員需持等級測評師證上崗《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》（公信安[2010]303號）一、等級測評師-分級初級等級測評師（技術(shù)和管理）中級等級測評師高級等級測評師一、等級測評師初級等級測評師了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)；熟悉信息安全基礎(chǔ)知識；熟悉信息安全產(chǎn)品分類，了解其功能、特點(diǎn)和操作方法；掌握等級測評方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；掌握測評工具的操作方法，能夠合理設(shè)計測試用例獲取所需測試數(shù)據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)。一、等級測評師中級等級測評師熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)；正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容，能夠跟蹤國內(nèi)、國際信息安全相關(guān)標(biāo)準(zhǔn)的發(fā)展；掌握信息安全基礎(chǔ)知識，熟悉信息安全測評方法，具有信息安全技術(shù)研究的基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)；具有較豐富的項(xiàng)目管理經(jīng)驗(yàn),熟悉測評項(xiàng)目的工作流程和質(zhì)量管理的方法，具有較強(qiáng)的組織協(xié)調(diào)和溝通能力；一、等級測評師中級等級測評師能夠獨(dú)立開發(fā)測評指導(dǎo)書，熟悉測評指導(dǎo)書的開發(fā)、版本控制和評審流程；能夠根據(jù)信息系統(tǒng)的特點(diǎn)，編制測評方案，確定測評對象、測評指標(biāo)和測評方法；具有綜合分析和判斷的能力，能夠依據(jù)測評報告模板要求編制測評報告，能夠整體把握測評報告結(jié)論的客觀性和準(zhǔn)確性。具備較強(qiáng)的文字表達(dá)能力；了解等級保護(hù)各個工作環(huán)節(jié)的相關(guān)要求。能夠針對測評中發(fā)現(xiàn)的問題，提出合理化的整改建議。一、等級測評師高級等級測評師熟悉和跟蹤國內(nèi)、外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展；對信息安全等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為深入的理解；具有信息安全理論研究的基礎(chǔ)、實(shí)踐經(jīng)驗(yàn)和研究創(chuàng)新能力；具有豐富的質(zhì)量體系管理和項(xiàng)目管理經(jīng)驗(yàn)，具有較強(qiáng)的組織協(xié)調(diào)和管理能力；熟悉等級保護(hù)工作的全過程，熟悉定級、等級測評、建設(shè)整改各個工作環(huán)節(jié)的要求。一、等級測評師要求

備注初級

等級測評師具備信息安全基礎(chǔ)知識和信息安全相關(guān)工作經(jīng)驗(yàn),熟悉TCP/IP網(wǎng)絡(luò)協(xié)議，了解標(biāo)識與鑒別、訪問控制等安全技術(shù)及原理，熟悉主流服務(wù)器操作系統(tǒng)、路由器、交換機(jī)、防火墻等設(shè)備的操作與配置。工程師中級

等級測評師具備信息安全理論基礎(chǔ)，對系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等有深入了解,作為項(xiàng)目負(fù)責(zé)人組織實(shí)施過信息系統(tǒng)安全測評項(xiàng)目，熟悉國內(nèi)外信息安全相關(guān)產(chǎn)品的特性，具有較豐富的測評實(shí)踐經(jīng)驗(yàn)、良好的溝通協(xié)作和文字表達(dá)能力。項(xiàng)目組長高級

等級測評師具備信息安全理論基礎(chǔ)，具有信息安全理論、信息安全技術(shù)的研究和實(shí)踐經(jīng)驗(yàn)，從事過網(wǎng)絡(luò)信息安全方面的測評、規(guī)劃、設(shè)計、實(shí)施、運(yùn)維等工作。熟悉信息安全標(biāo)準(zhǔn)和產(chǎn)品特性，熟悉信息安全技術(shù)發(fā)展動向。技術(shù)負(fù)責(zé)人一、等級測評師考試

分?jǐn)?shù)時間初級

等級測評師筆試滿分100分,合格分?jǐn)?shù)線為60分；筆試時間為120分鐘中級

等級測評師筆試+面試滿分100分,合格分?jǐn)?shù)線為60分；筆試和面試成績各占50分，筆試時間為120分鐘，面試時間為15分鐘。高級

等級測評師筆試+面試滿分100分，筆試占40分，面試占60分；筆試時間為100分鐘，面試時間為20分鐘。一、等級測評師考試

分?jǐn)?shù)時間初級

等級測評師筆試滿分100分,合格分?jǐn)?shù)線為60分；筆試時間為120分鐘中級

等級測評師筆試+面試滿分100分,合格分?jǐn)?shù)線為60分；筆試和面試成績各占50分，筆試時間為120分鐘，面試時間為15分鐘。高級

等級測評師筆試+面試滿分100分，筆試占40分，面試占60分；筆試時間為100分鐘，面試時間為20分鐘。需要介紹本人參加過的系統(tǒng)測評項(xiàng)目的情況及承擔(dān)的主要工作（5分鐘），評審測評指導(dǎo)書和等級測評報告面試人員需要提交本人工作總結(jié)簡要介紹主要項(xiàng)目經(jīng)歷（5分鐘）一、等級測評師-培訓(xùn)課程初級中級高級信息安全等級保護(hù)基礎(chǔ)信息安全等級保護(hù)基礎(chǔ)信息安全等級保護(hù)基礎(chǔ)等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用安全管理和物理測評信息系統(tǒng)安全等級保護(hù)基本要求國外信息系統(tǒng)安全保護(hù)政策和標(biāo)準(zhǔn)主機(jī)安全測評信息系統(tǒng)安全等級保護(hù)測評實(shí)施測評機(jī)構(gòu)的質(zhì)量體系建設(shè)工具測試方法信息系統(tǒng)安全等級保護(hù)測評方法信息系統(tǒng)測評基本概念與方法網(wǎng)絡(luò)安全測評項(xiàng)目管理我國信息安全標(biāo)準(zhǔn)體系應(yīng)用和數(shù)據(jù)庫安全測評信息安全技術(shù)發(fā)展概論一、等級測評師-初級培訓(xùn)課程課程設(shè)置目的信息安全等級保護(hù)政策了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用了解信息安全等級保護(hù)的相關(guān)政策、標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全測評熟悉網(wǎng)絡(luò)測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；

能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工作。主機(jī)安全測評熟悉主機(jī)測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；

能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工作。應(yīng)用和數(shù)據(jù)安全測評熟悉應(yīng)用和數(shù)據(jù)庫安全測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；

能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工作。安全管理和物理測評熟悉安全管理和物理測評內(nèi)容、要求和方法，能夠根據(jù)測評指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測評證據(jù)；

能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工作。工具測試方法掌握測評工具的操作方法，能夠合理設(shè)計測試用例獲取所需測試數(shù)據(jù)。一、等級測評師-中級培訓(xùn)課程課程設(shè)置目的全等級保護(hù)政策熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容。信息系統(tǒng)安全等級保護(hù)基本要求熟悉標(biāo)準(zhǔn)結(jié)構(gòu)，熟悉不同級別系統(tǒng)之間的差別、熟悉各級安全要求內(nèi)容。信息系統(tǒng)安全等級保護(hù)測評方法熟悉信息安全等級測評方法，能夠獨(dú)立開發(fā)測評指導(dǎo)書，并熟悉測評指導(dǎo)書的開發(fā)、版本控制和評審流程；

能夠根據(jù)信息系統(tǒng)的特點(diǎn)，編制測評方案，確定測評對象、測評指標(biāo)和測評方法；

能夠依據(jù)測評報告模板要求編制測評報告，能夠整體把握測評報告結(jié)論的客觀性和準(zhǔn)確性。信息系統(tǒng)安全等級保護(hù)測評實(shí)施熟悉等級測評項(xiàng)目的工作流程和質(zhì)量管理的方法。項(xiàng)目管理熟悉項(xiàng)目管理的主要內(nèi)容和關(guān)鍵環(huán)節(jié)。掌握項(xiàng)目質(zhì)量管理、進(jìn)度管理、風(fēng)險管理方法。一、等級測評師-高級培訓(xùn)課程課程設(shè)置目的等級保護(hù)政策熟悉信息安全等級保護(hù)相關(guān)政策、法規(guī)。等級保護(hù)相關(guān)標(biāo)準(zhǔn)應(yīng)用正確理解信息安全等級保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容。美國信息系統(tǒng)安全保護(hù)政策和標(biāo)準(zhǔn)熟悉和跟蹤國外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展。我國信息安全標(biāo)準(zhǔn)體系熟悉信息安全等級保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)。信息安全技術(shù)發(fā)展趨勢掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ)和發(fā)展趨勢。信息系統(tǒng)測評原理與方法掌握系統(tǒng)測評的原理和方法以及測評過程。二、什么是信息安全等級保護(hù)信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。二、什么是信息安全等級保護(hù)1《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》公通字[2004]66號

(公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā))

指出“信息安全等級保護(hù)工作是個龐大的系統(tǒng)工程，關(guān)系到國家信息化建設(shè)的方方面面，這就決定了這項(xiàng)工作的開展必須分步驟、分階段、有計劃的實(shí)施，信息安全等級保護(hù)制度計劃用三年左右的時間在全國范圍內(nèi)分三個階段實(shí)施。二、什么是信息安全等級保護(hù)1《信息安全等級保護(hù)管理辦法》

公通字[2007]43號

(公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā))

規(guī)定“國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)、組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)施安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行了監(jiān)督、管理”

規(guī)定“信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行了監(jiān)督管理。二、什么是信息安全等級保護(hù)

《管理辦法》規(guī)定需要等級保護(hù)的范圍：1、電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。2、鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。3、市（地）級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。4、涉及國家秘密的信息系統(tǒng)。三、安全保護(hù)等級的劃分等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查三、安全保護(hù)等級的劃分一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。三、安全保護(hù)等級的劃分嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。三、安全保護(hù)等級的劃分特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。四、等級保護(hù)工作的職責(zé)分工公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)；國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理；國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。五、等級保護(hù)工作的主要流程一是定級。包括評審與審批。

二是備案（二級以上信息系統(tǒng)）。三是系統(tǒng)建設(shè)、整改（按條件選擇產(chǎn)品）。四是開展等級測評（按條件選擇測評機(jī)構(gòu)）。五是信息安全監(jiān)管部門定期開展監(jiān)督檢查。

六、等級保護(hù)的測評標(biāo)準(zhǔn)GB17859-1999計算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則GBT22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（稱基本要求）信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南六、等級保護(hù)的測評標(biāo)準(zhǔn)

GBT22239-2008安全保護(hù)能力基本安全要求每個等級的信息系統(tǒng)基本技術(shù)措施基本管理措施具備包含包含滿足滿足實(shí)現(xiàn)六、等級保護(hù)的測評標(biāo)準(zhǔn)

GBT22239-2008核心思路某級系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護(hù)能力的系統(tǒng)六、等級保護(hù)的測評標(biāo)準(zhǔn)

GBT22239-2008各級系統(tǒng)的保護(hù)要求差異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)六、等級保護(hù)的測評標(biāo)準(zhǔn)

GBT22239-2008各級系統(tǒng)的保護(hù)要求差異（宏觀）一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界（基本）通信/邊界/內(nèi)部（關(guān)鍵設(shè)備）通信/邊界/