网络信息系统安全等级测评内容:
- 技术安全测评:有安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心
- 管理安全测评:有安全管理制度、安全管理机构、 安全管理人员、安全建设管理、安全运维管理
根据网络安全等级保护 2.0 标准规范,网络信息系统安全等级测评过程包括四个基本测评活动
- 测评准备活动
- 方案编制活动
- 现场测评活动
- 报告编制活动
网络安全渗透测试流程与内容
网络安全渗透测试的过程可分为五个阶段
- 委托受理
- 准备
- 实施
- 综合评估
- 结题
1.委托受理阶段
售前与委托单位就渗透测试项目进行前期沟通,签署“保密协议”,接收被测单位提交的资料。前期沟通结束后,双方签署“网络信息系统渗透测试合同”。
2.准备阶段
项目经理组织人员依据客户提供的文档资料和调查数据,编写制定网络信息系统渗透测试方案。项目经理与客户沟通测试方案,确定渗透测试的具体日期、客户方配合的人员。项目经理协助被测单位填写“网络信息系统渗透测试用户授权单”,并通知客户做好测试前的准备工作。如果项需在被测单位的办公局域网内进行,测试全过程需有客户方配合人员在场 陪同。
3.实施阶段
项目经理明确项目组测试人员承担的测试项。测试完成后,项目组整理渗透测试数据, 形成“网络信息系统渗透测试报告”。
4.综合评估阶段
项目组和客户沟通测试结果,向客户发送“网络信息系统渗透测试报告”。必要时,可根据客户需要召开报告评审会,对“网络信息系统渗透测试报告”进行评审。如被测单位希望复测,由被测单位在整改完毕后提交信息系统整改报告,项目组依据“网络信息系统渗透 测试整改报告”开展复测工作。复测结束后,项目组依据复测结果,出具“网络信息系统渗 透测试复测报告”。
5.结题阶段
项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。 项目组质量工作人员请客户填写“客户满意度调查表”,收集客户反馈意见
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
,
