一、等级测评的作用
依据《信息安全等级保护管理办法》(公通字[2007]43号),信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据GB/T 22239- 2008、GB/T28448--2012等技术标准,检测评估信息系统安全等级保护状况是否符合相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节。
在信息系统运维过程中,信息系统运营、使用单位定期对信息系统安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备GB/T 22239- -2008中相应等级安全保护
能力。而且,等级测评
报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料,是判断系统是否可批准开通运行的依据。等级测评结论为不符合的信息系统,其运营、使用单位应当根据等级测评报告,制定方案进行整改。
二、等级测评风险
1.可能影响系统正常运行
在现场测评时,需要对设备和系统进行一-定的验证测试工作,部分测试内容需要上机验证并查看- -些信息,这就可能对系统的运行造成--.定的影响,甚至存在误操作的可能。
另外,还会使用一些技术测试工具
进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络和系统的负载造成一-定的影响,渗透测试
还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植人的代码未完全清理等现象。
2.可能泄漏敏感信息
泄漏被测信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
三、信息安全等级保护测评风险的规避
在等级测评过程中可以通过采取以下措施规避风险:
签署委托测评协议。在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工作出现大的分歧。
签署保密协议。测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到被测评单位的授权,否则被测评单位将按照保密协议的要求追究测评单位的法律责任。现场测评工作风险的规避。进行验证测试和工具测试之前,测评机构要求运营、使用单位对系统及数据进行备份,并对可能出现的事件制定处理方案。
进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行;上机验证测试
由测评人员提出需要验证的内容,系统运营、使用单位的技术人员进行实际操作。整个现场。
四、信息安全等级保护测评过程概述
本标准中的测评工作过程及任务基于受委托测评机构对信息系统的初次等级测评给出。运营、使用单位的自查或受委托测评机构已经实施过一次以上等级测评的,测评机构和测评人员根据实际情况调整部分工作任务,具体原则见附录A。
等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。每一测评活动有一-组确定的工作任务。
立标顾问专注验厂15年以上资质,有任何的认证、验厂服务欢迎咨询立标企业管理顾问机构——13662586595罗经理(微信同号)
共有条评论 网友评论