技术要求:*、安全技术测评
主要包括:安全物理环境测评、安全通信网络测评、安全区域边界测评、安全计算环境测评、安全管理中心测评等五个层面上的测评。
(*)安全物理环境测评内容
安全物理环境测评中,测评人员将以文档查阅与分析和现场观测等检查方法为主,访谈为辅来获取测评证据(如机房的温湿度情况),用于评测机房的安全保护能力。
安全物理环境测评涉及的测评对象主要为机房和相关的安全文档。安全物理环境测评实施过程涉及**个方面的安全保护能力。
(*)安全通信网络测评内容
安全通信网络测评中,测评人员将以配置核查和文档查阅为主,访谈和分析为辅来获取证据(如相关措施的部署和配置情况),用于测评信息系统的网络安全保护。
安全通信网络测评涉及的测评对象主要为网络设备和安全。安全通信网络测评实施过程涉及*个方面的安全保护能力。
(*)安全区域边界测评内容
安全区域边界测评主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证*个方面的安全保护能力。
(*)安全计算环境测评内容
安全计算环境测评主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护**个方面的安全保护能力。
(*)安全管理中心测评内容
安全管理中心测评主要涉及系统管理、审计管理、安全管理、集中管控*个方面的安全保护能力。
*、安全管理测评
主要包括::安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评。
(*)安全管理机构测评内容
安全管理制度测评主要涉及岗位设置、人员配备、授权和审批、沟通和合作、 审核和检查*个方面的安全保护能力。
(*)安全管理制度测评内容
安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订 *个方面的安全保护能力。
(*)安全管理人员测评内容
安全管理人员测评主要涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理*个方面的安全保护能力。
(*)安全建设管理测评内容
安全建设管理测评主要涉及定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择**个方面的安全保护能力。
(*)安全运维管理
测评内容
安全管理人员测评主要涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理**个方面的安全保护能力。
*、系统整体测评
主要包括:安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评等四个层面上的测评。
实施人员应根据特定信息系统的具体情况,结合相关国家标准和要求,确定系统整体检查的具体内容,在安全控制符合性检查的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,检查安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。检查完毕,必须向用户方提交测评报告及整改方案。
*、等级测评结果汇总
对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果得分以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为符合、基本符合、不符合)。汇总测评结果制定,列出被测系统中存在的主要问题以及可能造成的后果。
服务要求:
对如下系统的网络安全等级保护测评服务:
*、继续教育管理平台(三级)
*、私有云平台(三级)
