1. 信息系统安全评估是什么?
信息系统安全评估是指对信息系统的安全管理、安全工程过程及安全技术等方面进行安全审核及测试,并依据安全标准的要求确定信息系统的整体安全状态。
信息系统所有者可以向中国信息安全产品测评认证中心申请信息系统安全评估,也可以就安全管理、安全工程过程或安全技术的某一方面向中国信息安全产品测评认证中心申请安全评估。
2. 我中心开展信息系统安全评估的依据是什么?
中国认证机构国家认可委员会于2004年8月9日认可了中国信息安全产品测评认证中心的信息系统安全性认证业务,其注册号为CNAB081-P。
我中心开展信息系统安全评估的标准依据为中国认证机构国家认可委员会认可的一系列标准,其中包括:《GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则》、《ISO/IEC 17799-2000 信息技术信息安全管理实用规则》、《ISO/IEC 13335-1996 信息技术-IT安全管理指南》、《ISO/IEC 21827-2002 信息安全工程能力成熟度模型》、《信息系统安全通用评估准则》和《电子政务信息系统安全评估准则》等。除此以外,还参考了国内外相关的安全标准、准则、技术要求和规范。
3. 进行信息系统安全评估有何益处?
通过国家信息安全测评认证,证实申请者信息系统符合公开、客观和先进的标准,对使用者提供信任,提高自身市场竞争力。
通过国家信息安全测评认证,促进申请者信息系统安全能力逐步提高,减少安全风险。
系统运行管理部门可根据系统评估的结论,改进信息系统的安全保障能力;而其上级业务主管部门可根据系统评估的结论对信息系统的运行进行审批和认可。
4. 信息系统安全评估会涉及哪些人员?
信息系统安全评估主要涉及的各方有:
Ø 评估方:这里为中国信息安全产品测评认证中心的系统工程实验室;
Ø 申请方:申请方可以是信息系统的所有者,也可以是信息系统所有者授权的代理申请者;
Ø 信息系统安全服务方:指为目标信息系统提供安全服务的一方。该方可能是信息系统所有者自己,也可能是信息系统所有者所请的系统安全工程方或系统安全服务提供方。
5. 信息系统安全评估需要提交的申请材料有哪些?
用户申请信息系统安全评估首先应填写《信息系统安全评估申请书》。此外,还需提交以下相关评估材料:
Ø 《信息系统安全策略》
Ø 《信息系统技术方案》(含安全技术方案)
Ø 《信息系统安全组织机构及管理制度》
Ø 《信息系统工程实施过程文档》
Ø 《信息系统自我风险评估文档》
详细说明请参见在中国信息安全产品测评认证中心网站(http://www.itsec.gov.cn)上提供的《信息系统安全评估申请材料说明》文档。
6. 申请信息系统安全评估的时间通常为多长?
由于不同信息系统的规模差别较大,因此这里所说的时间只是一个参考。
从受理到评估完成的时间约为6~8周,其中:
Ø 受理阶段时间大约为1周;
Ø 静态评估阶段时间大约为1~2周;
Ø 现场评估准备阶段时间大约为1周;
Ø 现场评估阶段时间大约为1周;
Ø 综合评估阶段时间大约为2~3周;
7. 一个信息系统安全评估项目开始和结束的标志是什么?
用户方的正式申请文档提交到中国信息安全产品测评认证中心,标志着信息系统安全评估项目的正式开始;
信息系统安全评估项目结束的标志为:用户收到中国信息安全产品测评认证中心给出的系统安全评估报告。
8. 安全技术评估部分的评估内容包括哪些部分?
安全技术评估部分的评估内容包括:
Ø 信息系统安全体系架构的评估;
Ø 对接入Internet的系统需进行远程安全渗透测试(包括网络渗透和应用渗透);
Ø 信息系统内部安全脆弱性检测和渗透;
Ø 信息系统安全配置检查(包括基础网络设施层次、业务应用平台层次[如操作系统、数据库管理系统等]和业务应用层次);
Ø 业务应用系统安全功能验证测试;
Ø 源代码检查(可选项,用户定制)。
9. 申请单位对评估结果有异议,是否可提出异议?
自用户收到评估报告之日起一个月内,可就评估报告的内容向中国信息安全产品测评认证中心提出异议。
