金融行业信息安全等级保护测评

金融行业信息安全等级保护测评

等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获 取需要的证据数据,给出是否达到特定级别安全保护能力的评判。本文件中针对每一个要求项的测评构 成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。

单项测评中的每一个具体测评实 施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对 每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。
等级测评实施的流程一般是根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作 的范围,结合等级保护对象的安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对 象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将 与其相关的人员及管理文档确定为管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、 业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档 等。等级测评实施的详细流程和方法见GB/T 28449—2018。
等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级较 高的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评 力度应符合附录A。
每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要 求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求5个部分。大数据安全评估方法应符合 附录B。
等级测评包括单项测评和整体测评
a) 单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本文件中单项测评 由测评指标、测评对象、测评实施和单元判定结果构成。为方便使用,对每个测评单元进行编号,编号 规则应符合附录C。
b) JR/T 0067—2021 4 b)整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。等级保护对象整体测 评应从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析,从而给出等级测评结论。 整体安全保护能力从纵深防护和措施互补两个角度评判。

金融行业信息安全等级保护测评
金融行业信息安全等级保护测评

看过本文的也喜欢:

【实例】如何高分通过物流行业等级保护测评

教育信息系统等级保护测评

【实例】游戏行业信息安全等级保护测评

温馨提示: 本文由李大大推荐,发表于个人网站,部分内容于来源互联网,如有疑问,请联系站长.