我的位置 首页  >  新闻动态  >  国内新闻

等级测评工作要求

来源:科技成果转化中心时间:2018-07-12
      

在《测评过程指南》的附录C中,讲述了等级测评工作要求,其中总结下来就是:依据标准,遵循原则;恰当选取,保证强度;规范行为,规避风险。当然,紧紧这几个字,字面意思是非常浅显的,而实际操作却不是那么容易的了。在《测评过程指南》中,我们也看到其用了不少的篇幅,对24个字进行的阐释与解读。

依据标准,遵循原则

等级测评工作要出具的报告是通过科学有效的测评手段得到的是如实公正合理完善的反映客观实际现状产品。那么等级测评实施应依据等级保护的相关技术标准进行。相关技术标准主要包括GB/T 22239、GB/T 28448,其中等级测评目标和内容应依据GB/T 22239,对具体测评项的测评实施方法则依据GB/T 28448。在等级测评实施活动中,应遵循GB/T 28448.1中规定的测评原则,保证测评工作公正、科学、合理完善

标准是对网络环境测评的依据,只有谙熟标准的内容,才能够最大限度的剔除自身主观因素对测评结果的影响。为以后再次测评工作的可重用性和可重复性打下良好的基础,也为为测评能力的提升大有裨益。也为后面工作指导精神做铺垫,更好的做到“恰当选取、保证强度”。

恰当选取,保证强度

我们做任何事情,都不喜欢做一些无用功,也不喜欢做事情达不到预期效果。我们每一个人的精力又是有限的,所以在工作过程中即要讲求效率又要讲质量。恰当选取是指对具体测评对象的选择要恰当,既要避免重要的对象、可能存在安全隐患的对象没有被选择,也要避免过多选择,使得工作量增大。能够恰当选取,找到效率与质量之间的最佳平衡点。既提升了测评的时间效益,又保证测评强度和质量。想要满足这一点,其实并非易事。这就需要我们对测评对象的确定准则、确定步骤有个清晰的认知。这些内容,都可以在《测评过程指南》中寻找到答案。深入的学习《测评过程指南》,是一个等级测评师必备的功课。当然,这里谈及的保证强度是指对被测定级对象应实施与其等级相适应的测评强度。


规范行为,规避风险

我们测评过程中,接触到的是客户的网络运行环境。生活中,我们知道做任何事情都存在风险,只是生活中大多数风险被我们的经验以及能力化解于无形之中了。那主要是因为我们对我们生活的环境的高度熟悉,以至于我们有多重途径应付这些不起眼的风险,这些风险在我们眼里也不成为风险了。然而,我们测评的环境是我们不太熟悉的以及信息系统的特殊性,加之我们对一些未可预知的情况难以把控,注定会存在一定的风险隐患。

若要规避风险,必先有防范于未然的风险意识,然后就是需要我们懂得风险的产生因素。其实在测评工作要求指引的24个字中,就给出了解决方案即:规范行为

其中要求我们测评机构实施等级测评的过程应规范。过程规范包括:制定内部保密制度;制定过程控制制度;规定相关文档评审流程;指定专人负责保管等级测评的归档文件等。另外就是要求我们测评人员的行为应规范。行为规范包括:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价测评结果;不将测评结果复制给非测评人员;涉及到测评委托单位的工作秘密或敏感信息的相关资料,只在指定场所查看,查看完成后立即归还等

另外《测评过程指南附录C中也明确谈到规避风险,是指要充分估计测评可能给被测定级对象带来的影响,测评前应向被测定级对象运营/使用单位揭示风险,要求其提前采取预防措施进行规避。同时,测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书、要求测评委托单位进行系统备份、规范测评活动、及时与测评委托单位沟通等措施规避风险,尽量避免给被测定级对象和单位带来影响。

本篇内容,是结合了《测评过程指南附录C写成,中间存在大量引用同时,夹杂着一些个人观点。本文写作目的是起一个宣导作用,就是提醒或引导大家注意《测评过程指南》,期望能够引起广大测评师同行的注意。同时,也期望引起网络系统运营者朋友们的注意。大家对整个测评过程有个深刻的认知后,彼此配合工作也会更加如鱼得水,对测评工作的开展起到正向促进作用。测评过程指南》标准共分9章,5个附录,今天着重引述的是附录C的内容。


……往期也精彩……

分享是美德,传播是善良

密码的不当使用管理也可使网络安全面临风险

六月份恶意软件之“十恶不赦”排行榜

网络安全重点专项活动之智慧城市网络安全管理

网络安全自查和监督管理

等级测评工作中的风险控制与测评报告主要内容

等级测评机构及测评人员的管理与监督、测评机构的业务范围和工作要求

等级测评业务的开展与应用等级测评标准的注意事项


       (科技成果转化中心供稿)