1.确定评估目标
信息系统安全管理评估的目标是,根据已经确定的安全管理等级,按照GB/T 20269—2006相应等级的管理内容及管理水平进行符合性、有效性检查和验证,检验信息系统安全管理体系和管理水平是否满足确定等级的管理要求。
具体实施安全管理评估时,应明确描述所涉及的被评估对象,确定每一个具体的被评估对象的安全管理等级,以及需要达到的安全管理评估的具体目标。
2.控制评估过程
信息系统安全管理评估过程可从以下方面进行控制。
(1)确定安全管理评估的范围,包括根据安全方针政策、安全工作计划、安全方案等相关文件中描述的安全管理控制,并依据系统的使命、业务、组织管理结构、技术平台、物理网络基础设施,以及相关政策、法律、法规等,确定评估的范围。
(2)建立安全管理控制措施的评估规程,包括以下内容。
①应在充分考虑信息系统的安全目标和安全要求的基础上,明确各种安全管理控制措施的各项评估规程,并编入评估计划。
②对于每种安全管理控制,评估人员都应逐项建立对应的评估规程,明确评估规程相关的目标、步骤。
③评估规程相关步骤的数量会因信息系统、信息系统安全不同等级要求不同,体现了评估过程精确度和强度。
④根据GB/T 20269—2006相应等级的安全管理要求,针对特定管理对象进行裁剪时,应对各种增减的措施进行标明,对新增的安全管理控制编制评估操作规程,确保评估的有效性。
⑤根据安全管理控制的变化,可能会对信息系统中其他管理控制产生影响,对影响评估这些控制措施的效果所需要的评估规程和规程步骤进行必要调整。
(3)优化评估规程以确保评估质量,包括以下内容。
①在评估信息系统的安全管理控制时,为了节省时间、降低评估成本,应充分利用以往的评估结果。
②针对特定系统的安全管理控制措施的评估规程进行检查,在可能或可行的情况下结合或合并一些规程步骤,要充分考虑优化GB/T 20269—2006所列各个安全管理控制类别的可能性。
③应给评估人员在实施评估计划的过程中以很大的灵活性,确保评估工作的效率和效果。
(4)收集以往的评估结果,包括以下内容。
①根据前次评估的时间、评估的深度和广度,以及负责评估的评估人员或评估小组的能力和独立性等情况,评估人员可通过分析以前的评估结果,获得对信息系统安全管理控制情况的深入了解。
②有关安全评估计划是否使用或接受以往的评估结果,需要与单位相关负责人共同讨论、确认后决定,确保相关结果的采用不与国家或主管部门法律、法规、政策、标准冲突。
(5)形成安全管理评估计划并获准执行,包括以下内容。
①在完成评估规程的编制、优化后,形成安全管理评估计划的正式文件,其中要明确执行评估工作的各个时间节点和评估过程各项重要工作完成的时间表。
②安全管理评估计划应与被评估单位的安全目标、安全风险评估及与评估工作资源配置相关的成本效益要求保持一致;评估计划文件完成编制后,需呈交相关管理部门审批,以GA/T 713—2007确保计划的严肃性;如果属于自评估,评估计划的审批步骤可以省略。(www.xing528.com)
③安全管理评估计划正式成文并得到批准后,评估人员或安全评估小组方可开始安全评估工作;评估人员或评估小组根据已经达成一致意见的重要事件时间表执行安全评估计划。
(6)评估实施过程中采取的调查性访谈、符合性检查、有效性验证及监测验证,应根据安全管理评估计划有序进行。
3.处理评估结果
信息系统安全管理评估应按下列要求对评估结果进行处理。
(1)评估结果应按照规定的报告格式记录在案,报告内容的分类应与所进行的安全控制评估相一致,评估记录应及时归档。
(2)应对评估记录进行分析,确定某一特定安全控制的总体效果,说明控制是否按确定的目标正确实施,并达到要求的预期结果。
(3)评估人员所给出的评估应能导致做出下列判断。
①完全满足:表明对特定要求,按照评估规程,通过评估后认为相关的安全管理控制产生了完全可以接受的结果。
②部分满足:表明通过评估后的安全管理措施产生了可部分接受但不能完全接受的结果,并能指出哪些安全管理控制措施尚未实施,以及信息系统的哪些脆弱性可能导致了这种情况的出现。
③不满足:表明通过评估,发现安全管理措施不能达到安全管理目标要求,产生了不可接受的结果,并能指出哪些安全管理控制措施尚未落实或实施,以及信息系统的哪些脆弱性可能导致了这种情况的出现。
(4)评估人员应识别并记录由于一个或多个安全管理控制的部分失效或完全失效带给信息系统的任何脆弱性,可用于以下方面。
①作为一项重要内容纳入单位的安全规划或重要整改建议中,为纠正安全控制缺陷提供详细的线路图。
②信息安全主管领导和相关信息系统支持单位可利用评估结果和有关信息系统残余脆弱性信息,来确定本单位信息系统运行和相关资产面临的总体风险。
4.建立保障证据
保障证据用来证明安全管理措施选择得当,并正确实施,以及安全管理体系按照既定目标运行,并符合信息系统安全要求的预期结果。建立保障证据的工作包括以下几项。
(1)在评估过程中收集证据,以支持被评估机构信息安全决策责任人就信息系统做出采用的基于风险的安全控制行之有效的决定。
(2)收集从各种来源获得的保障证据,主要来源是信息系统相关人员,如信息系统开发者、系统集成方、认证机构、信息系统拥有者、审计人员、安全检察人员和机构的信息安全人员等提供的系统安全性评估结果。
(3)收集来自产品层面的评估结果,进行系统层面的评估,用以确定信息系统采用的安全控制的总体效果,其中也会反映安全管理体系运行的总体效果。
(4)从不同详细程度和范围的评估中获取信息,包括使用全部评估方法和规程进行认证和认可的全面评估以及其他类型评估(如监管机构评估、自评估、审计和检查)提供有用的信息。
(5)了解并记录评估人员的资格。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。