说明:题目来自网上及部分答案来自标准,答案非标准仅供参考,欢迎留言讨论~!
1、简述等级测评中整体测评结果分析的方法,并举例。
这题等保中级测评师复习.03有
2、简述测评指导书开发的步骤及内容。
开发测评指导书通常以确定测评对象为起点,依次完成测评指标映射、分解/量化测评指标、确定测评实施、验证测评指导书,最终形成测评指导书。
(1)确定测评对象
首先应明确测评对象,包括测评对象的厂家、型号、系统版本等,通过这些信息能够唯一确定某具体的系统组件。
(2)选择测评指标
选择测评指标时,应首先从定级对象的安全保护等级(简称“对象等级”)出发,根据其业务信息安全保护等级和系统服务安全保护等级从《基本要求》中选择相应安全保护等级和层面的S/A/G三类安全要求构成备选测评指标集合。如果多个不同等级的定级对象共用相同的物理环境和管理体系,则安全物理环境指标和管理指标应采用就高原则。
其次,如果测评对象为主机、网络互联设备、网络安全设备或业务应用系统,应进一步区分备选测评指标,去除整体性安全和不适用于该测评对象的安全要求,筛选出适用于层面内所有对象以及特定于该测评对象的安全要求以构成最终的测评指标集合。整体性安全要求则列入到独立的安全整体测评指导书中。
(3)分解/量化测评指标
出于灵活性和适用性的考虑,《基本要求》中的某些条款描述比较宽泛。为保证测评指导书的可操作性,有必要结合定级对象的具体情况对测评指标进行分解和量化,从而实现其可测评的目的。
(4)确定测评实施
测评实施是测评指导书的核心内容,由测评方法、操作步骤和结果记录三部分组成。测评方法(访谈、核查或测试)和操作步骤是由测评对象所属目标定级对象的安全保护等级决定,体现了与该安全保护等级相对应的测评强度,决定了测评人员以及委托方对测评结果的信任程度。
对于主机房的测评以实地察看和文档审查为主。
安全管理制度、安全管理机构和安全管理人员等管理类测评以人员访谈和文档审查为主,通过收集的证据证明安全管理制度覆盖全面、内容完整、落实到位,且相关安全管理文档一致化、体系化,符合相应等级的管理要求。
对于对象等级为3的接路由器的测评内容,其测评方法应以核查为主,即通过核查路由器的安全配置来获取所需的证据,必要时需通过测试来证明相关安全配置的有效性。
操作步骤源于测评对象的生产商、供货商或系统集成商或者测评工具的生产商、供应商提供的相关用户手册、管理员指南、安全指南等文档,以及通过安全培训、安全会议或者互联网(专业网站、论坛、博客)等其他渠道获得的资料。
(5)确定预期结果
预期结果是测评实施结果记录取值范围中“正确”的那一个,也就是说,如果结果记录与预期结果相同,则表明测评对象在该项测评指标上满足《基本要求》。
(6)验证测评指导书
针对选定测评对象(非逻辑)的所有测评实施进行专属评审,或在仿真环境中的相同(或相近)设备上进行验证,检验测试步骤以及预期结果的正确性,并依据验证结果改进或接受测评实施。
(7)形成测评指导书
汇总并整理选定测评对象的测证指标、测评实施和预期结果,形成特定测评对象的测评指导书。
其他
- 云服务商首选备案地点:【运维人员地点】
分析:云服务商相比传统的信息系统备案流程是一样的,但是云服务商的物理基础设施、运维地点、公司的注册地点可能都不一样,例如:阿里云,运维在杭州,物理机房国内各个地方都有,公司在北京注册。但基本是按运维人员所在地进行备案,因为这样方便公安机关进行监管,发生网安事件后便于运维人员配合调查。 - 三级小型系统测评对象抽样方法:【分层抽样】
分析:这里给定的重点条件是小型系统,根据标准:
确定测评对象时,可以将系统构成组件分类,再考虑重要性等其他属性。一般定级对象(就是要测评的系统)可以直接采用分层抽样方法(Stratified sampling),复杂系统建议采用多阶抽样方法(Multistage sampling)。具体解释看这里。 - 信息收集和分析阶段必须做的是:【编制调查表,填写调查表,分析调查表】
分析:信息收集和分析阶段属于测评准备活动的工作
信息收集和分析任务的主要工作包括收集被测等级保护对象已有资料(即项目启动任务中要求测评委托单位提交的那些文档资料)、编制和发放调查表格、协助填写调查表(电话或邮件方式)或现场调查、收回和分析调查结果等。通过该任务了解整个等级保护对象的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
注意:应根据调查表的填写情况决定是否需要安排现场调查,如果调查表格中填写不准确或矛盾的地方很多,则需安排现场调查、填写调查表。也就是说现场调查不是信息收集和分析阶段【必须】做的事情。
扫一扫
2675
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
