软件等级保护测评指的是什么
软件等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密软件信息系统安全等级保护状况进行检测评估的活动。通过进行网络安全等级保护测评活动,能够对信息系统安全防护体系能力进行分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。
软件等级保护测评流程:
1.测评准备活动
测评准备活动的目标是顺利启动测评项目,收集定级对象相关资料,准备测评所需资料,为编制测评方案打下良好的基础。测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务。
2.方案编制活动
方案编制活动的目标是整理测评准备活动中获取的定级对象相关资料,为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务。
3.现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
4.报告编制活动
在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。测评人员在初步判定单项测评结果后,还需进行单元测评结果判定、整体测评、系统安全保障评估,经过整体测评后,有的单项测评结果可能会有所变化,需进一步修订单项测评结果,而后针对安全问题进行风险评估,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险评估、等级测评结论形成及测评报告编制七项主要任务。