一、等級測評的作用
依據《信息安全等級保護管理辦法》(公通字[2007]43號),信息系統運營、使用單位在進行信息系統備案后,都應當選擇測評機構進行等級測評。等級測評是測評機構依據GB/T 22239- 2008、GB/T28448--2012等技術標準,檢測評估信息系統安全等級保護狀況是否符合相應等級基本要求的過程,是落實信息安全等級保護制度的重要環節。
在信息系統運維過程中,信息系統運營、使用單位定期對信息系統安全等級保護狀況進行自查或委托測評機構開展等級測評,對信息安全管控能力進行考察和評價,從而判定信息系統是否具備GB/T 22239- -2008中相應等級安全保護
能力。而且,等級測評
報告是信息系統開展整改加固的重要指導性文件,也是信息系統備案的重要附件材料,是判斷系統是否可批準開通運行的依據。等級測評結論為不符合的信息系統,其運營、使用單位應當根據等級測評報告,制定方案進行整改。
二、等級測評風險
1.可能影響系統正常運行
在現場測評時,需要對設備和系統進行一-定的驗證測試工作,部分測試內容需要上機驗證并查看- -些信息,這就可能對系統的運行造成--.定的影響,甚至存在誤操作的可能。
另外,還會使用一些技術測試工具
進行漏洞掃描測試、性能測試甚至抗滲透能力測試。測試可能會對網絡和系統的負載造成一-定的影響,滲透測試
還可能影響到服務器和系統正常運行,如出現重啟、服務中斷、滲透過程中植人的代碼未完全清理等現象。
2.可能泄漏敏感信息
泄漏被測信息系統狀態信息,如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔信息。
三、信息安全等級保護測評風險的規避
在等級測評過程中可以通過采取以下措施規避風險:
簽署委托測評協議。在測評工作正式開始之前,測評方和被測評單位需要以委托協議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執行步驟和要求、雙方的責任和義務等。使得測評雙方對測評過程中的基本問題達成共識,后續的工作以此為基礎,避免以后的工作出現大的分歧。
簽署保密協議。測評雙方應簽署完善的、合乎法律規范的保密協議,以約束測評雙方現在及將來的行為。保密協議規定了測評雙方保密方面的權利與義務。測評工作的成果屬被測評單位所有,測評方對其的引用與公開應得到被測評單位的授權,否則被測評單位將按照保密協議的要求追究測評單位的法律責任。現場測評工作風險的規避。進行驗證測試和工具測試之前,測評機構要求運營、使用單位對系統及數據進行備份,并對可能出現的事件制定處理方案。
進行驗證測試和工具測試時,避開業務高峰期,在系統資源處于空閑狀態時進行;上機驗證測試
由測評人員提出需要驗證的內容,系統運營、使用單位的技術人員進行實際操作。整個現場。
四、信息安全等級保護測評過程概述
本標準中的測評工作過程及任務基于受委托測評機構對信息系統的初次等級測評給出。運營、使用單位的自查或受委托測評機構已經實施過一次以上等級測評的,測評機構和測評人員根據實際情況調整部分工作任務,具體原則見附錄A。
等級測評過程分為4個基本測評活動:測評準備活動、方案編制活動、現場測評活動、報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。每一測評活動有一-組確定的工作任務。
立標顧問專注驗廠15年以上資質,有任何的認證、驗廠服務歡迎咨詢立標企業管理顧問機構——13662586595羅經理(微信同號)
共有條評論 網友評論