等级保护测评方法一

3.等级保护测评方法

1)访谈、检查和测试三种方法简介

等级保护测评一般采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、 网络安全、主机安全、应用系统安全、数据安全以及安全管理。

使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查项目分类。

所有以询问方式检查的项目，在与有关人员的谈话或会议上进行；

所有以查验方式检查的项目，将需要的文档清单在检查现场提交给被检查方，请被检查方当场提供并进行查验；

所有需要以检测方式检查的项目，按检测部门或设备分类后，根据具体情况选择检测顺序。

对技术类要求的测评方法

t访谈，方法：目的是了解信息系统的全局性。范围一般不覆盖所有要求内容。

c检查，方法：目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。 范围一般要覆盖所有要求内容。

c测试，方法：目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求内容。

对管理类要求的测评方法

对人员方面的要求，重点通过‘访谈’的方式来测评，检查为辅； 对过程方面的要求，通过‘访谈’和‘检查’的方式来测评；

对规范方面的要求，以‘检查’文档为主， ‘访谈’为辅单项测评

是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。