等级保护测评方法一
2018-04-11 16:51:33 | 来源:中培企业IT培训网
3.等级保护测评方法
1)访谈、检查和测试三种方法简介
等级保护测评一般采用访谈、检查和测试三种方法,测评对象是测评实施过程中涉及到的信息系统的构成成份,包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、 网络安全、主机安全、应用系统安全、数据安全以及安全管理。
使用测评表进行具体检查时,首先按询问、查验、检测等工作方式将所有检查项目分类。
所有以询问方式检查的项目,在与有关人员的谈话或会议上进行;
所有以查验方式检查的项目,将需要的文档清单在检查现场提交给被检查方,请被检查方当场提供并进行查验;
所有需要以检测方式检查的项目,按检测部门或设备分类后,根据具体情况选择检测顺序。
对技术类要求的测评方法
t访谈,方法:目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。
c检查,方法:目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。 范围一般要覆盖所有要求内容。
c测试,方法:目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。
对管理类要求的测评方法
对人员方面的要求,重点通过‘访谈’的方式来测评,检查为辅; 对过程方面的要求,通过‘访谈’和‘检查’的方式来测评;
对规范方面的要求,以‘检查’文档为主, ‘访谈’为辅单项测评
是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。