信息系统单元测评及其安全管理方面

信息系统单元测评分为第一级信息系统单元测评、第二级信息系统单元测评、第三级信息系统单元测评、第四级信息系统单元测评、第五级信息系统单元测评。

每一级信息系统单元测评分为安全技术测评和安全管理测评两部分。而每级安全技术测评又包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复5个方面。每一级的安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统安全管理和系统运维管理5个方面。^[4]

物理安全包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

网络安全的定义是：网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面。

主机安全主要包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面。

应用安全的定义是：针对应用程序或工具在使用过程中可能出现的计算、传输数据的泄露和失窃,通过其他安全工具或策略来消除隐患。应用安全具体包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。

数据安全及备份恢复包括数据完整性、数据保密性、备份和恢复几个方面。(www.xing528.com)

安全管理制度包括管理制度、制定和发布、评审和修订等方面。

安全管理机构包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面。

人员安全管理包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。

系统建设管理包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全服务商选择等。

系统运维管理包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。