1. 山河小说
  2. 女生小说
  3. 网络安全法和网络安全等级保护2
  4. 6.4 等级测评
关灯 巨大 直达底部
亲,双击屏幕即可自动滚动
6.4 等级测评

(3)签署委托测评协议

在测评工作正式开始之前,以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求,以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作也以此为基础,避免以后的工作出现大的分歧。

(4)签署保密协议

签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。

(5)签署现场测评授权书

在现场测评工作开始之前,以测评授权的方式明确测评工作中双方的责任,揭示可能的风险,避免可能出现的纠纷和分歧。

(6)现场测评工作风险的规避

进行验证测试和工具测试时,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要相关技术人员对整个测评过程进行监督;在进行工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。

(7)测评现场还原

测评工作完成后,测评人员应交回测评工程中获取的所有特权,归还测评过程中借阅的相关文档,并严格清理测评过程中植入被测系统中的相关代码程序。

(8)规范化的实施过程

为保证按实施计划、高质量地完成测评工作,需明确测评记录和测评报告要求,需明确测评过程中每一阶段需要产生的相关文档,使测评工作有章可循。在委托测评协议、现场测评授权书和测评方案中,明确双方的人员职责、测评对象、时间计划、测评内容要求等。

(9)沟通与交流

为避免测评工作中可能出现的争议,在测评开始前与测评过程中,需要进行积极有效的沟通和交流,及时解决测评过程中出现的问题,这对保证测评的过程质量和结果质量有重要的作用。

(10)测评实施中的风险监控

采取以下措施对测评实施中的风险进行监控,以防止危及测评成败的风险发生。建立并及时更新测评风险列表及风险排序。测评管理人员随时关注与关键风险相关因素的变化情况,及时决定何时、采用何种风险应对措施。

647读懂测评报告

2014年12月31日,公安部十一局发布了公信安〔2014〕2866号文件,即关于传发《信息安全等级保护测评报告模版(2015年版)》的通知。通知文件中说明“为深入推进信息安全等级保护工作,进一步规范等级测评活动,提高对信息系统安全保护状况的综合分析能力,我局组织对《信息系统安全等级测评报告模版(试行)》(2009年版)进行了修订。现将《信息系统安全等级测评报告模版(2015年版)》传发各地,请各地立即传达到本地测评机构,认真贯彻执行”。

1测评报告概述

(1)报告编号

公信安〔2014〕2866号文件明确指出:每个备案信息系统单独出具测评报告,测评报告编号为四组数据,如4100092700400001-15-4105-01。各组含义和编码规则如下:

第一组为信息系统备案表编号,由2段16位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位,如41000927004(前6位,410009为受理备案公安机关代码,后5位,27004为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号,如00001)。

第二组为年份,由2位数字组成,如15代表2015年。

第三组为测评机构代码,由4位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。如41表明是河南省,05序号为测评机构是第5家。

第四组为本年度信息系统测评次数,由2位构成。如01表示该信息系统本年度测评2次。

(2)信息系统等级测评基本信息表

主要是关于信息系统、被测单位、测评单位的描述。

(3)声明

声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。声明格式要求如下:

本报告是xxx信息系统的等级测评报告。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。

本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。

在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

(4)等级测评结论

等级测评结论需要通过表6-7方式描述。

表6-7等级测评结论

(5)总体评价

根据被测系统测评结果和测评过程中了解的相关信息,从用户角度对被测信息系统的安全保护状况进行评价。例如,可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面,分别评价描述信息系统安全保护状况。综合上述评价结果,对信息系统的安全保护状况给出总括性结论,如信息系统总体安全保护状况较好。

(6)主要安全问题

主要描述被测信息系统存在的主要安全问题及其可能导致的后果。

(7)问题处置建议

针对系统存在的主要安全问题提出处置建议。

2测评报告主要内容说明

下面通过分析2015版测评报告,通过表6-8方式对测评报告主体撰写进行描述。

表6-8等级保护测评报告

为您推荐