@火凤凰
1年前 提问
1个回答
等级保护测评方法有哪些
GQQQy
1年前
等级保护测评方法有以下几种:
访谈:访谈的对象是人员。典型的访谈人员包括信息安全主管、信息系统安全管理员、信息管理员、网络管理员、资产管理员等。对技术要求,使用“访谈”方法进行测评的目的是为了了解信息系统的全局性(包括局部、但不是细节)、方向/策略性和过程性信息,一般不涉及到具体的实现细节和具体技术措施;对管理要求,获取证据。
检查:测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。检测对象包括:各类设备、安全配置、机房、存储介质等。对技术要求,“检查”的内容应该是具体的、较为详细的机制配置和运行实现;对管理要求,“检查”方法主要用于规范性要求(检查文档)。
测试:测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。对技术要求,“测试”的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。对管理要求,一般不采用测试技术。