等级测评方法等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见gb/t28448一2019gb/t28449—2018。
等级测评概述
本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。单项测评中的每一个具体测评实施要求项(以下简称"测评要求项")是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。测评实施的内容完全覆盖了中所有要求项的测评要求,使用时应当从单项测评的测评实施中抽取出对于gb/t22239—2019中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导等级测评活动。根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象的安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将与其相关的人员及管理文档确定为管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力度的具体描述参见附录a。每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求5个部分。大数据可参考安全评估方法参见附录b。
展开全文