等级测评工作和测评原则虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照等级测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
b) 经济性和可重用性原则
基于等级测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
c) 可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的等级测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
d) 符合性原则
等级测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
(二)测评力度
等级测评力度是在测评过程中实施测评工作的力度,反映测评的广度和深度,体现为测评工作的实际投入程度。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多;测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的投入。投入越多,测评力度就越强,测评就越有保证。测评的广度和深度落实到访谈、检查和测试三种不同的测评方法上,能体现出测评实施过程中访谈、检查和测试的投入程度的不同。
信息安全等级保护要求不同安全保护等级的信息系统应具有不同的安全保护能力,满足相应等级的保护要求。为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保护要求,需要实施与其安全保护等级相适应的测评,付出相应的工作投入,达到应有的测评力度。
第一级到第四级信息系统的测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和深度上,落实在不同单元测评中具体的测评实施上。不同安全保护等级的信息系统在总体上所对应的测评力度详见信创致远官网http://www.zhiyuanit.com.cn/。