2)信息系统安全测评
目前,我国常见的信息系统安全测评包括信息系统风险评估、信息系统等级保护测评, 以及信息系统安全保障测评。
(1)信息系统风险评估
信息系统风险评估是从风险管理的角度,运用科学的方法和手段,全面分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和改进措施,并为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障网络和信息安全提供科学依据。
(2)信息系统等级保护测评
信息系统等级保护测评,是对信息系统安全等级保护状况进行测试评估,包括两个方面的内容:一是单元测评,依据等级保护测评相关标准对GB/T 22239所要求的基本安全控制在信息系统中的实施配置情况进行测评;二是整体测评,主要测评信息系统的整体安全性,是在单元测评的基础上,对信息系统开展整体测评,可以进一步分析信息系统的整体安全性。 整体测评主要包括安全控制间、层面闾和区域间相互作用的安全测评以及系统结构的安全测评等。
(3)信息系统安全保障测评
信息系统安全保障测评是在风险评估的基础上,评估信息系统生命周期中采取的技术类、管理类、过程类和人员的安全保障措施,确定信息系统安全保障措施对系统履行其职能的有效性及其对面临安全风险的可承受度。
对信息系统的安全保障测评,首先需要根据信息系统运行环境及相关的信息系统安全保障需求(即ISPP)进行描述,然后依据需求编制满足用户需求的信息系统安全保障方案,即信息系统安全保障目标( ISST)。评估者依据这些文件对信息系统安全保障方案满足保障要求( ISPP)的符合情况进行评估,在此基础上,依据国标GB/T 20274《信息系统安全保障评估框架》对信息系统的技术、管理和工程等三个方面的能力成熟度级别进行评价,最终确定信息系统安全保障能力级别。
在管理方面,依据《信息系统安全保障评估框架第3部分:管理保障》,安全管理禽旨力成熟度级(SecuriLy Management Capability Maturity Le、rel,MCML)分为5级,由低到高分别为MCML1,MCML2,MCML3,MCML4,MCML-。其中,MCML1表明组织机构内部禽邑够依据经验进行部分的安全管理工作;MCML2表明组织机构能够建立完善的管理体系来规范安全管理能力;MCML3表明组织机构能够采取有效措施来敦促管理体系的落实和实施;MCML4 表明组织机构所制定的管理体系不仅能够有效实施,而且还能够对实施管理措施的效果进行测试≯MCML5表明机构能够对管理体系进行持续性改进。
在工程方面,依据《信息系统安全保障评估框架第4部分:工程保障》”,安全工程台邕力成熟度级(Security Engineering Capal)ility MaLurity Level,ECML)分为5级,由低到高分别为ECMLl, ECML2, ECML3, ECML4, ECML5。
在技术架构方面,依据《信息系统安全保障评估框架第2部分:技术保障》,安全技术禽黾力成熟度级(Security Technique Capability Maturity Level,TCML)分成5级,即TCML1,
TCML2,TCML3,TCML4,TCML5。在安全产品选用上可以参照国标GB/T 18336《信息技术安全性评估准则》的要求,为不同安全等级的信息系统选用相应安全保证级的产品。
想了解更多IT资讯,请访问中培伟业官网:中培伟业