安全测评

  • 标签:

等级测评方法

       等级测评方法是指测评人员在测评实施过程中所使用的方法,包括人员访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一、人员访谈。通过对相关人员进行访谈,了解和获取系统安全技术的功能、策略和机制的设置及其实际运行,以及系统安全管理的策略、措施的设置和执行实际。 

二、文档审查。通过检查设计资料、管理文档、运行日志、登记资料等安全技术和管理相关文档是否齐备,检查信息系统被测安全技术的功能、策略和机制的设置和实际运行,以及被测安全管理的策略、措施的设置和实际执行情况以及文件的完整性和这些文件之间的内部一致性。

三、配置检查。根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。

四、工具测试。通过采用专业的安全工具,对信息系统安全功能的某些参数进行检测,测定被测安全功能的指标。

五、实地察看。根据信息系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。

信息安全等级保护测评服务包括四个阶段:

       测评申请阶段

       委托单位向测评机构提出测评申请,测评机构对被测单位的申请材料进行审查,在双方达成共识的情况下,双方签订保密协议、委托书、合同。

       测评准备阶段

       测评机构成立项目组,工作人员至待测评单位了解待测评系统相关信息,编写信息系统业务调查报告,信息系统规划设计分析报告,与被测单位共同讨论测评方案,测评工作计划,达成共同认可的测评方案和测评工作计划。

       测评检查、测试阶段

       在进入现场检测测试阶段时,测评机构项目组成员在参照系统体系建设相关资料(系统建设方案、技术资料、管理资料、日常维护资料)后,对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查,生成管理检查记录、技术检查记录和核查报告。 

       测评综合分析阶段

       测评机构最后进行核查结果分析,等级符合性分析、专家评审,生成等级测评报告和安全建议报告。