400-626-7377信息安全測評之信息系統(tǒng)安全測評
2)信息系統(tǒng)安全測評
目前,我國常見的信息系統(tǒng)安全測評包括信息系統(tǒng)風(fēng)險(xiǎn)評估、信息系統(tǒng)等級保護(hù)測評, 以及信息系統(tǒng)安全保障測評。
(1)信息系統(tǒng)風(fēng)險(xiǎn)評估
信息系統(tǒng)風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理的角度,運(yùn)用科學(xué)的方法和手段,全面分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和改進(jìn)措施,并為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。
(2)信息系統(tǒng)等級保護(hù)測評
信息系統(tǒng)等級保護(hù)測評,是對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估,包括兩個(gè)方面的內(nèi)容:一是單元測評,依據(jù)等級保護(hù)測評相關(guān)標(biāo)準(zhǔn)對GB/T 22239所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況進(jìn)行測評;二是整體測評,主要測評信息系統(tǒng)的整體安全性,是在單元測評的基礎(chǔ)上,對信息系統(tǒng)開展整體測評,可以進(jìn)一步分析信息系統(tǒng)的整體安全性。 整體測評主要包括安全控制間、層面閭和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等。
(3)信息系統(tǒng)安全保障測評
信息系統(tǒng)安全保障測評是在風(fēng)險(xiǎn)評估的基礎(chǔ)上,評估信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類和人員的安全保障措施,確定信息系統(tǒng)安全保障措施對系統(tǒng)履行其職能的有效性及其對面臨安全風(fēng)險(xiǎn)的可承受度。
對信息系統(tǒng)的安全保障測評,首先需要根據(jù)信息系統(tǒng)運(yùn)行環(huán)境及相關(guān)的信息系統(tǒng)安全保障需求(即ISPP)進(jìn)行描述,然后依據(jù)需求編制滿足用戶需求的信息系統(tǒng)安全保障方案,即信息系統(tǒng)安全保障目標(biāo)( ISST)。評估者依據(jù)這些文件對信息系統(tǒng)安全保障方案滿足保障要求( ISPP)的符合情況進(jìn)行評估,在此基礎(chǔ)上,依據(jù)國標(biāo)GB/T 20274《信息系統(tǒng)安全保障評估框架》對信息系統(tǒng)的技術(shù)、管理和工程等三個(gè)方面的能力成熟度級別進(jìn)行評價(jià),最終確定信息系統(tǒng)安全保障能力級別。
在管理方面,依據(jù)《信息系統(tǒng)安全保障評估框架第3部分:管理保障》,安全管理禽旨力成熟度級(SecuriLy Management Capability Maturity Le、rel,MCML)分為5級,由低到高分別為MCML1,MCML2,MCML3,MCML4,MCML-。其中,MCML1表明組織機(jī)構(gòu)內(nèi)部禽邑夠依據(jù)經(jīng)驗(yàn)進(jìn)行部分的安全管理工作;MCML2表明組織機(jī)構(gòu)能夠建立完善的管理體系來規(guī)范安全管理能力;MCML3表明組織機(jī)構(gòu)能夠采取有效措施來敦促管理體系的落實(shí)和實(shí)施;MCML4 表明組織機(jī)構(gòu)所制定的管理體系不僅能夠有效實(shí)施,而且還能夠?qū)?shí)施管理措施的效果進(jìn)行測試≯MCML5表明機(jī)構(gòu)能夠?qū)芾眢w系進(jìn)行持續(xù)性改進(jìn)。
在工程方面,依據(jù)《信息系統(tǒng)安全保障評估框架第4部分:工程保障》”,安全工程臺(tái)邕力成熟度級(Security Engineering Capal)ility MaLurity Level,ECML)分為5級,由低到高分別為ECMLl, ECML2, ECML3, ECML4, ECML5。
在技術(shù)架構(gòu)方面,依據(jù)《信息系統(tǒng)安全保障評估框架第2部分:技術(shù)保障》,安全技術(shù)禽黽力成熟度級(Security Technique Capability Maturity Level,TCML)分成5級,即TCML1,
TCML2,TCML3,TCML4,TCML5。在安全產(chǎn)品選用上可以參照國標(biāo)GB/T 18336《信息技術(shù)安全性評估準(zhǔn)則》的要求,為不同安全等級的信息系統(tǒng)選用相應(yīng)安全保證級的產(chǎn)品。
想了解更多IT資訊,請?jiān)L問中培偉業(yè)官網(wǎng):中培偉業(yè)
