安全測評

  • 標簽:

等級測評方法

       等級測評方法是指测评人员在测评实施过程中所使用的方法,包括人员访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一、人員訪談。通過對相關人員進行訪談,了解和獲取系統安全技術的功能、策略和機制的設置及其實際運行,以及系統安全管理的策略、措施的設置和執行實際。 

二、文檔審查。通過檢查設計資料、管理文檔、運行日志、登記資料等安全技術和管理相關文檔是否齊備,檢查信息系統被測安全技術的功能、策略和機制的設置和實際運行,以及被測安全管理的策略、措施的設置和實際執行情況以及文件的完整性和這些文件之間的內部一致性。

三、配置檢查。根據測評結果記錄表格內容,利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正確,是否與文檔、相關設備和部件保持一致,對文檔審核的內容進行核實(包括日志審計等)。

四、工具測試。通過采用專業的安全工具,對信息系統安全功能的某些參數進行檢測,測定被測安全功能的指標。

五、實地察看。根據信息系統的實際情況,測評人員到系統運行現場通過實地的觀察人員行爲、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況,測評其是否達到了相應等級的安全要求。

信息安全等級保護测评服务包括四个阶段:

       測評申請階段

       委托單位向測評機構提出測評申請,測評機構對被測單位的申請材料進行審查,在雙方達成共識的情況下,雙方簽訂保密協議、委托書、合同。

       測評准備階段

       測評機構成立項目組,工作人員至待測評單位了解待測評系統相關信息,編寫信息系統業務調查報告,信息系統規劃設計分析報告,與被測單位共同討論測評方案,測評工作計劃,達成共同認可的測評方案和測評工作計劃。

       測評檢查、測試階段

       在進入現場檢測測試階段時,測評機構項目組成員在參照系統體系建設相關資料(系統建設方案、技術資料、管理資料、日常維護資料)後,對測評單位進行安全管理機構檢查、安全管理制度檢查、系統備案依據檢查、技術要求落實情況測評、定期評估執行情況檢查、等級響應、處理檢查、教育和培訓檢查,生成管理檢查記錄、技術檢查記錄和核查報告。 

       測評綜合分析階段

       測評機構最後進行核查結果分析,等級符合性分析、專家評審,生成等級測評報告和安全建議報告。