3.等級(jí)保護(hù)測評(píng)方法

1)訪談、檢查和測試三種方法簡介

等級(jí)保護(hù)測評(píng)一般采用訪談、檢查和測試三種方法，測評(píng)對象是測評(píng)實(shí)施過程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機(jī)制、軟件、設(shè)備。測評(píng)的層面涉及物理安全、 網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。

使用測評(píng)表進(jìn)行具體檢查時(shí)，首先按詢問、查驗(yàn)、檢測等工作方式將所有檢查項(xiàng)目分類。

所有以詢問方式檢查的項(xiàng)目，在與有關(guān)人員的談話或會(huì)議上進(jìn)行；

所有以查驗(yàn)方式檢查的項(xiàng)目，將需要的文檔清單在檢查現(xiàn)場提交給被檢查方，請被檢查方當(dāng)場提供并進(jìn)行查驗(yàn)；

所有需要以檢測方式檢查的項(xiàng)目，按檢測部門或設(shè)備分類后，根據(jù)具體情況選擇檢測順序。

對技術(shù)類要求的測評(píng)方法

t訪談，方法：目的是了解信息系統(tǒng)的全局性。范圍一般不覆蓋所有要求內(nèi)容。

c檢查，方法：目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn)行的配置是否符合要求。 范圍一般要覆蓋所有要求內(nèi)容。

c測試，方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。

對管理類要求的測評(píng)方法

對人員方面的要求，重點(diǎn)通過‘訪談’的方式來測評(píng)，檢查為輔； 對過程方面的要求，通過‘訪談’和‘檢查’的方式來測評(píng)；

對規(guī)范方面的要求，以‘檢查’文檔為主， ‘訪談’為輔單項(xiàng)測評(píng)

是將單項(xiàng)測評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測評(píng)對象的單項(xiàng)測評(píng)結(jié)果，從而判定單元測評(píng)結(jié)果，并以表格的形式逐一列出。