在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合项或部分符合项,应进行层面间安全测评内容测评,重点分析其他层面上功能相同或相似的安全控制点是否对本安全控制点存在补充作用(如应用层加密与网络层加密、主机层与应用层上的身份鉴别等),以及技术与管理上各层面的关联关系(如主机安全与系统运维管理、应用安全与系统运维管理等)。
根据测评内容分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。
您可前往信创致远官网http://www.dengbao110.com/查看等级保护、测评内容内容。
(二) 区域间测评
在单元测评完成后,如果信息系统的某个安全控制点中的要求项存在不符合项或部分符合项,应进行区域间安全测评,重点分析系统中访问控制路径(如不同功能区域间的数据流流向和控制方式),是否存在区域间安全功能的相互补充。
根据等级测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单元测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则该安全控制点对应的单元测评结论应调整为符合。
(三)系统结构安全测评
在完成安全控制点间、层面间和区域间安全测评后,应进行系统结构安全测评,系统结构安全测评应从信息系统整体结构的安全性和整体安全防范的合理性方面进行分析和测评。
在测评分析信息系统整体结构的安全性时,应掌握信息系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等各种情况,结合业务数据流分析物理布局与网络拓扑之间、网络拓扑与业务逻辑之间、物理布局与业务逻辑之间、不同信息系统之间存在的各种关系,明确物理、网络和应用系统等不同位置上可能面临的威胁、可能暴露的脆弱性等,考虑信息系统的实际情况,综合判定信息系统的整体布局是否清晰、合理、安全有效。
在等级测评分析信息系统整体安全防范的合理性时,应熟悉信息系统安全保护措施的具体实现方式和部署情况等,结合业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范措施是否恰当合理、协调一致。