1、什么是信息安全测评?
信息安全测评(testing and assessment of information security),指测评人员在系统工程指导思想下,遵守国家有关标准、规范和流程,通过设计各种测评案例,对一个信息系统的安全性能和功能进行“标准符合性”论证的过程。
2、测评过程关心的问题
- 系统设计方案是否遵守国家有关标准?
- 系统设计方案是否得到严格执行?
- 系统建成后是否达到设计方案的要求?
- 系统是否出现方案中未指明的错误等等。
3、为什么要进行信息安全测评?——Why
对信息系统进行安全测评是对信息系统的建设质量进行评判的必要环节。
4、何时测评?——When
- 设计阶段(确定安全等级)
- 建设极端(根据确定的安全等级,测评是否满足要求)
- 运行维护阶段(例行测评)
- 废弃阶段(根据安全等级,确定处理方式)
5、那些系统需要测评什么? ——Which
- 内网:指与Internet之间采取了“可靠的技术隔离手段”的企事业机构专用网络,如电力系统内部办公网络、OA系统等。
- 外网:指那些与Internet并向外提供服务的企事业机构专用网络。例如,政府对外服务系统、政府门户网站、网络银行、社保网和校园网等。
5、谁来测评?——Who
- 委托测评:由专业的信息安全测评人员组成。
- 自测评:由本单位的技术人员组成。
6、如何准备测评?——What
- 用户向测评机构提交测评申请。
- 测评机构对资料进行必要的审核之后,与用户签署安全服务协议书(合同)。
- 与用户签署保密协议书。
- 向用户提交测评工作计划(主要包含工作目标、工作范围、工作重点、进度安排、保障措施、约束条件、计划审批、测评依据、术语与名词缩写)。
7、怎样测评?——How
- 数据安全测评
- 主机安全测评
- 网络安全测评
- 应用安全测评