本标准描述了第一级到第四级信息系统的单元测评的具体测评实施过程要求。为了便于理解、对比不同测评方法的测评力度以及不同级别信息系统单元测评的测评力度增强情况,分别编制表 A.1 测评方法的测评力度描述和表 A.2 不同安全保护等级信息系统的测评力度要求表。您可前往信创致远官网http://www.dengbao110.com/查看等级保护、测评力度内容。
(一)测评方法的测评力度描述
测评方法是测评人员依据测评内容选取的、实施特定测评操作的具体方法。本标准涉及访谈、检查和测试等三种基本测评方法。访谈、检查和测试等三种基本测评方法的测评力度可以通过其测评的深度和广度来描述,如表 A.1
(二)信息系统测评力度
为了进一步理解不同等级信息系统在测评力度上的不同,表 A.2 在表 A.1 的基础上,从测评对象数量和种类以及测评深度等方面详细分析了不同测评方法的测评力度在不同安全保护等级信息系统安全测评中的具体体现。
从表 A.2 可以看到,对不同等级的信息系统进行测评力度时,选择的测评对象的种类和数量是不同的,随着信息系统安全保护等级的增高,抽查的测评对象的种类和数量也随之增加。
对不同安全保护等级信息系统进行测评力度时,实际抽查测评对象的种类和数量,应当达到表 A.2的要求,以满足相应等级的测评力度要求。在具体测评对象选择工作过程中,可参照遵循以下原则:
a) 完整性原则,选择的设备、措施等应能满足相应等级的测评力度要求;
b) 重要性原则,应抽查重要的服务器、数据库和网络设备等;
c) 安全性原则,应抽查对外暴露的网络边界;
d) 共享性原则,应抽查共享设备和数据交换平台/设备;
e) 代表性原则,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型