电话:400-100-6757
9159金沙
安全服务
安全测评

品级测评内容

    根据《信息系统安全品级庇护测评要求》对信息系统安全品级庇护情况停止测试评价的要求,信息安全品级测评包罗两个方面的内容:一是单位测评,次要测评信息安全品级庇护要求的根本安全掌握项在信息系统中的施行设置状况;二是体系团体测评,次要测评阐发信息系统的团体安全性。

    现场测评施行完毕后,天创科技测评施行小组按照测评指导书各个单位测评项的成果记载停止单位测评阐发,汇总测评成果,并停止团体测评阐发,从而构成公道、可信任的测评结论,最初完成测评陈述的体例。

单位测评

    单位测评中抽样事情单位笼盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包罗:物理安全技术、网络安全手艺、主机系统安全手艺应用软件安全技术、数据安全技术等五个层面上的安全掌握测评;安全管理测评包罗:安全管理机构、安全管理制度、职员安全管理、体系建立管理、体系运维管理等五个方面的安全掌握测评。单位测评两大类10个方面如下图所示:

澳门新葡萄娱

团体测评

    团体测评是在单位测评的基础上,经由过程进一步阐发信息系统的团体安全性,对信息系统施行的综合安全测评。团体测评次要包罗安全掌握点间、层面间和地区间相互作用的安全测评以及体系构造的安全测评等。次要测评安全掌握间、层面间以及地区间的互相联系关系干系,测评安全掌握间、层面间和地区间能否存在安全功能上的加强、弥补和减弱感化以及信息系统团体构造安全性、信息系统差别子系统之间团体安全性等。

安全掌握点间安全测评

    安全掌握点间的安全测评次要思索统一区域内、统一层面上的差别安全掌握点间存在的功用加强、弥补或减弱等联系关系感化。安全功能上的加强和弥补能够使两个差别强度、差别品级的安全掌握阐扬更强的综合效能,能够使单个低品级安全掌握在特定情况中到达高等级信息系统的安全要求。安全功能上的减弱可能会使一个安全掌握的引入影响另一个安全掌握的功用阐扬大概给其带来新的懦弱性,使其在特定情况中不能到达该品级信息系统的安全要求。

安全层面间安全测评

    层面间的安全测评次要思索统一区域内的差别层面之间存在的功用加强、弥补和减弱等联系关系感化。安全功能上的加强和弥补能够使两个差别层面上的安全掌握阐扬更强的综合效能,能够使单个低品级安全掌握在特定情况中到达高等级信息系统的安全要求。安全功能上的减弱会使一个层面上的安全掌握影响另一个层面安全掌握的功用阐扬大概给其带来新的懦弱性。

安全地区间安全测评

    地区间的安全测评次要思索互连互通(包罗物理上和逻辑上的互连互通等)的差别地区之间存在的安全功能加强、弥补和减弱等联系关系感化,特别是有数据交流的两个差别地区。安全功能上的加强和弥补能够使两个差别地区上的安全掌握阐扬更强的综合效能,能够使单个低品级安全掌握在特定情况中到达高等级信息系统的安全要求。安全功能上的减弱会使一个地区上的安全功能影响另一个地区安全功能的阐扬大概给其带来新的懦弱性。

体系构造安全测评

    体系构造安全测评次要思索信息系统团体构造的安全性和团体安全防备的合理性。从信息系统的物理规划、网络拓扑、业务逻辑(业务数据流)、体系实现和集成方法等基础上,分离差别位置上能够面对的要挟、能够表露的懦弱性等,综合断定信息系统的团体规划能否公道、团体能否安全有用等。

品级测评办法

    品级测评办法是指测评职员在测评施行历程中所利用的办法,包职员访谈、文档检查、设置查抄、东西测试和实地观察五个方面。

一、职员访谈。经由过程对相干职员停止访谈,理解和获得系统安全手艺的功用、战略和机制的设置及其实践运转,以及体系安全管理的战略、步伐的设置和施行实践

二、文档检查。经由过程查抄设想资料、管理文档、运转日记、注销资料等安全技术和管理相干文档能否完备,查抄信息系统被测安全技术的功用、战略和机制的设置和实践运转,以及被测安全管理的战略、步伐的设置和实践施行状况以及文件的完整性和这些文件之间的内部一致性。

三、设置查抄按照测评成果记载表格内容,操纵上机考证的方法查抄使用体系、主机体系、数据库体系以及网络设备的设置能否准确,能否与文档、相干装备和部件保持一致,对文档考核的内容停止核实(包罗日记审计等)。

四、东西测试。经由过程接纳专业的安全东西,对信息系统安全功用的某些参数停止检测,测定被测安全功能的目标。

五、实地观察按照信息系统的实际情况,测评职员到体系运转现场经由过程实地的察看职员举动、手艺设备和物理情况情况判定职员的安全意识、业务操纵、管理程序和体系物理情况等方面的安全状况,测评其能否到达了响应品级的安全要求。

天创信息安全品级庇护测评服务包罗四个阶段:

测评申请阶段

    拜托单元向测评机构提出测评申请,测评机构对被测单元的申请材料停止检查,在单方告竣共鸣的状况下,单方签署保密和谈、委托书、条约。

测评筹办阶段

    测评机构建立项目组,工作人员至待测评单元理解待测评体系相干信息,编写信息系统业务调查报告,信息系统计划设想阐发陈述,与被测单元配合会商测评计划,测评工作计划,告竣配合承认的测评计划和测评工作计划。

测评查抄、测试阶段

    在进入现场检测测试阶段时,测评机构项目构成员在参照体系系统建立相干资料(体系建立计划、技术资料、管理资料、一样平常保护资料)后,对测评单元停止安全管理机构查抄、安全管理制度查抄、体系存案根据查抄、手艺要求落实状况测评、按期评价执行情况查抄、品级呼应、处置查抄、教诲和培训查抄,天生管理查抄记载、手艺查抄记载和核对陈述。

测评综合分析阶段

    测评机构最初停止核对成果阐发,品级契合性阐发、专家评审,天生品级测评陈述和安全倡议陈述。详细流程如下图:  

品级测评服务流程

2138.com

新浦京
澳门新葡萄娱
新浦京