欢迎来到天天文库
浏览记录
ID:18458071
大小:1.78 MB
页数:206页
时间:2018-09-18
《信息系统安全等级保护测评准则》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息系统安全等级保护测评准则—203—目录1范围12规范性引用文件13术语和定义14总则24.1测评原则24.2测评内容24.2.1基本内容24.2.2工作单元34.2.3测评强度44.3结果重用44.4使用方法45第一级安全控制测评55.1安全技术测评55.1.1物理安全55.1.2网络安全75.1.3主机系统安全95.1.4应用安全115.1.5数据安全135.2安全管理测评155.2.1安全管理机构155.2.2安全管理制度175.2.3人员安全管理175.2.4系统建设管理195.2.5系统运维管理236第二级安全控制测评2
2、76.1安全技术测评276.1.1物理安全276.1.2网络安全336.1.3主机系统安全376.1.4应用安全426.1.5数据安全476.2安全管理测评506.2.1安全管理机构506.2.2安全管理制度526.2.3人员安全管理546.2.4系统建设管理566.2.5系统运维管理617第三级安全控制测评697.1安全技术测评697.1.1物理安全697.1.2网络安全76—203—7.1.3主机系统安全827.1.4应用安全907.1.5数据安全977.2安全管理测评997.2.1安全管理机构997.2.2安全管理制度1047
3、.2.3人员安全管理1067.2.4系统建设管理1097.2.5系统运维管理1158第四级安全控制测评1268.1安全技术测评1268.1.1物理安全1268.1.2网络安全1348.1.3主机系统安全1408.1.4应用安全1498.1.5数据安全1578.2安全管理测评1608.2.1安全管理机构1608.2.2安全管理制度1648.2.3人员安全管理1668.2.4系统建设管理1698.2.5系统运维管理1769第五级安全控制测评18810系统整体测评18810.1安全控制间安全测评18810.2层面间安全测评18910.3区
4、域间安全测评18910.4系统结构安全测评190附录A(资料性附录)测评强度191A.1测评方式的测评强度描述191A.2信息系统测评强度191附录B(资料性附录)关于系统整体测评的进一步说明197B.1区域和层面197B.1.1区域197B.1.2层面198B.2信息系统测评的组成说明200B.3系统整体测评举例说明201B.3.1被测系统和环境概述201B.3.1安全控制间安全测评举例202B.3.2层面间安全测评举例202B.3.3区域间安全测评举例203B.3.4系统结构安全测评举例203—203—信息系统安全等级保护测评准
5、则1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。本标准没有规定第五级信息系统安全控制测评的具体内容要求。本标准适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根
6、据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T5271.8-2001信息技术词汇第8部分:安全GB/Txxx-2005信息系统安全等级保护基本要求3术语和定义GB/T5271.8-2001和GB/Txxx-2005信息系统安全等级保护基本要求所确立的以及下列术语和定义适用于本标准。3.1工作单元workunit工作单元是安全测评的最小工作单位,由测评项、测评方式、测评对象、测评实施和结果判定等组成,分别描述测评
7、目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。3.2测评强度testing&evaluationintensity测评的广度和深度,体现测评工作的实际投入程度。3.3访谈interview测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.4检查examination不同于行政执法意义上的监督检查,是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是
8、否有效的一种方法。3.5测试testing测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。3.6被测系统informationsyste
此文档下载收益归作者所有