信息安全测试检测

信息安全测试检测

目录

1、概述 (2)

1.1信息安全风险评估的概念与依据 (2)

1.2信息安全等级保护的定义 (2)

1.3涉密系统测评的两种形式 (3)

2、信息安全测试检测的重要性 (4)

1.1信息安全风险评估的意义和作用。 (4)

1.2信息安全等级保护测评的意义 (4)

1.3涉密系统测评的意义 (5)

3、涉密信息系统测评要点分析 (5)

3.1应首先核实管理体系文件能否被执行 (5)

3.2应从全局角度确认管理体系的完整性 (5)

3.3采用风险分析的方法来确认具体 (6)

3.4应掌握评价管理制度可操作性的关键要素 (6)

3.5管理体系应能够自我改进 (7)

4. 信息安全等级保护测评中应关注的几项问题 (7)

5、信息安全风险评估策划阶段关键问题 (9)

5.1确定风险评估范围 (9)

5.2确定风险评估目标 (9)

5.3建立适当的组织机构 (10)

5.4建立系统性风险评估方法 (10)

5.5获得最高管理者对风险评估策划的批准 (11)

5.6总结 (11)

信息安全测试检测是一个统称的概念。用来概括信息系统风险评估、等级保护测评和涉密系统测评三项信息安全方面的测试检测工作。信息系统风险评估、等级保护测评和涉密系统测评这三种实现信息安全的方法都是当前我国进行信息安全保障工作的重要内容和手段，信息安全测试检测概念的提出对于规范和明确信息安全日常工作具有重要作用。

1、概述

通常来讲，信息安全测试检测包含风险评估、等级保护测评以及涉密系统测评。以上3种检测都需要相应的检测资质，例如风险评估工作需要风险评估资质，等级保护测评需要等级保护资质，资质不能混用，全国目前同时具备以上3种检测资质的单位并不多，具了解，山东省软件评测中心同时具备风险评估、等级保护、涉密系统3种检测资质。

1.1信息安全风险评估的概念与依据

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。

风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

1.2信息安全等级保护的定义

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国

家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

1.2.1信息安全等级保护工作内容

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

1.3涉密系统测评的两种形式

涉密信息系统测评主要有两种形式，即自我检测和检查评估。一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。

自我检测是涉密信息系统拥有者主要进行的日常的检查测评，是保障涉密信息系统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下，各部门各单位对所拥有的涉密信息系统进行自我检测应成为涉密系统测评的重要方式。

检查评估是国家保密局授权的，经中央批准成立的专门评估机构实施。可以在已建涉密信息系统安全改进方案设计之前进行，作为设计方案的依据；可以在已建涉密信息系统审批运行之前进行，作为保密局审批的依据；也可以在已建涉密信息系统开通运行一段时间之后进行，作为控制新的安全风险的依据。

2、信息安全测试检测的重要性

信息安全测试检测作为保障信息安全的重要措施有着不可替代的作用。合理有效的测试检测可以发现信息系统中存在的问题，防患于未然。

1.1信息安全风险评估的意义和作用。

（1）.风险评估是信息系统安全的基础性工作，它是观察过程的一个持续的工作。

（2）.风险评估是分级防护和突出重点的具体体现。前面讲了等级保护，他有一个重要的思想，等级保护的出发点就是要突出重点，要突出重点要害部位，分级负责，分层实施。

（3）.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持，生命周期有几个阶段，有规划和启动阶段，设计开发或采购阶段等等。信息系统在设计阶段的时候，现在大家很关注的还是在设计阶段，国家对这方面也做了很多的工作。

信息安全风险评估的目标和目的，信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况，有助于达成公式，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性，这是一个非常非常重要的问题。我们检查性的评估，都是为了使信息安全评估策略贯彻得到始终如一的支持。

1.2信息安全等级保护测评的意义

当前信息系统安全保护等级的划分共分为五级，分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。

实施信息安全等级保护意义重大，不仅有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展，而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务，有效控制了信息安全建设成本。同时，信息安全等级保护对信息安全资源的配置进行了优化，重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提