信息系统安全等级保护测评(以下简称等级测评)的概念性框架由三部分构成:测评输入、测评过程和测评输出。测评输入包括GB/T 22239—008第四级目录(即安全控制点的唯一标识符)和采用该安全控制的信息系统的安全保护等级(含业务信息安全保护等级和系统服务保护等级)。过程组件为一组与输入组件中所标识的安全控制相关的特定测评对象和测评方法。输出组件包括一组由测评人员使用的用于确定安全控制有效性的程序化陈述。图4-2给出了测评框架。
测评对象是指测评实施的对象,即测评过程中涉及的制度文档、各类设备及其安全配置和相关人员等。制度文档是指针对信息系统所制定的相关联的文件(如政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门,是指应用上述制度、设备及安全配置的人。
对于框架来说,每一个被测安全控制(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备及其安全配置和相关人员)。
(www.xing528.com)
图4-2 测评框架[2]
测评方法:在框架的测评过程组件中,测评方法包括访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。上述3种测评方法(访谈、检查和测试)的测评结果都用以对安全控制的有效性进行评估。
上述的评估方法都有一组相关属性来规范测评方法的测评力度。这些属性是广度(覆盖面)和深度。对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部3种测评方法。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
