步骤:
1、确定测评对象
2、选择测评指标
3、分解/量化测评指标
4、确定测评实施
5、确定预期结果
6、验证测评指导书
7、形成测评指导书
测评报告内部评审时应重点关注
1)测评结果判定的准确性
2)阒评结果理解和解释所需的信息的清晰、充足、 正确和准确性
3)整体测评结果分析的合理性
4)风险分析方法的可行性和合理性
5)测评结果汇总与问题分析的正确性
6)测评结论的准确性
7)文本结构和内容与《等级测评报告模板》的一致性
8)报告审核、批准与签发过程的规范性
1.14 实施等级保护的基本流程和内容
1)定级与备案阶段:
系统建设单位按照国家有关管理规范和《网络安全等级保护定级指南》,确定等级保护对象及其安全保护等级,并依据流程到主管部门审核、批准,报公安机关备案审查:2)总体安全规划:
恨据定级情况,设计会理的系统安全方案,并确定安全建设项目规划,以指导后续的系统安全建设工程实,
3)安全设计与实施阶段:
结合安全建设项目计划,进行安全方案详细设计,实施安全建设,落实安全保护技术措施和安全管理措施。
4)安全运行与维护阶段内容:
通过实施漫作管理、变更管理、安全状态监控、安全事件处置和应急预案等活动,进行系统运行的动态管理。
5)定级对象终止阶段内容:
用于指导运营、使用单位在系统披转移、终止或废弃时,正确处理系内的重要信息。确保信息资产
的安全。
1.15 等级测评主要活动的目的及意义
测评过程可以分为测评准备、方案编制、现场测评以及报告编制。并在整个过程中进行沟
测评准备阶段的目的和意义:是整个等级测评过程有效性的保证,目标是顺利启动测评项目,为编制测评方案打下良好的基础。
方案编制阶段的目的及意义:根据定级对象为现场测评活动提供最基本的文档和指导方 案。是决定等级测评项目实施成功与否的关键。
现场测评阶段的目的及意义:目标是最终审定测评方案,协调各种资源,正式启动现场测评工作。是开展等级测译工作的关键环节。
报告编制阶段的目的及意义:目标是对被测定级对象整体安全保护力进行综合评价。是反映等级测评机构技术和质量控制能力的一直镜子。
1.16 测评过程中存在哪些风险及规避
存在风险
1.影响系统正常运行的风险
2.敏感信息泄篇凤险
3.木马植人风险 风险规避
4.签要委托测评协汶
5.签署保密协议
6.签署现场测评授权书
7.现场测评工作的风险规避,渗透测试需要测试环境
8.测评现场还原。
9.规范化实施过程
10.沟通与交流
1.17 信息安全中级等级测评师能力要求
1)熟悉信息安全等级保护相关攻策、法规:
2)正确理解信息安全等级保护标准体系和主要标准内容,够银踪国内、国际信息安全相关标准的发展;
3)掌握信息安全基础知识,熟悉信息安全评方法,具有信息安全技术研究的基础和实践经验;4)具有较丰富的项目管理经验,贴悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
5)能够独立开发测评指导书,熟恶测评指导书的开发、版本控制和评审流程;
6)能够根据信息系统的特点,缠制测评方案,确定调评对象、测评指标和评方法;
7)具有综合分析和判断的能力,能够依据测评报告模板要求编制评报告,能够整体把测评报告