3.等級保護測評方法

1)訪談、檢查和測試三種方法簡介

等級保護測評一般采用訪談、檢查和測試三種方法，測評對象是測評實施過程中涉及到的信息系統的構成成份，包括人員、文檔、機制、軟件、設備。測評的層面涉及物理安全、 網絡安全、主機安全、應用系統安全、數據安全以及安全管理。

使用測評表進行具體檢查時，首先按詢問、查驗、檢測等工作方式將所有檢查項目分類。

所有以詢問方式檢查的項目，在與有關人員的談話或會議上進行；

所有以查驗方式檢查的項目，將需要的文檔清單在檢查現場提交給被檢查方，請被檢查方當場提供并進行查驗；

所有需要以檢測方式檢查的項目，按檢測部門或設備分類后，根據具體情況選擇檢測順序。

對技術類要求的測評方法

t訪談，方法：目的是了解信息系統的全局性。范圍一般不覆蓋所有要求內容。

c檢查，方法：目的是確認信息系統當前具體安全機制和運行的配置是否符合要求。 范圍一般要覆蓋所有要求內容。

c測試，方法：目的是驗證信息系統安全機制有效性和安全強度。范圍不覆蓋所有要求內容。

對管理類要求的測評方法

對人員方面的要求，重點通過‘訪談’的方式來測評，檢查為輔； 對過程方面的要求，通過‘訪談’和‘檢查’的方式來測評；

對規范方面的要求，以‘檢查’文檔為主， ‘訪談’為輔單項測評

是將單項測評結果進行匯總，分別統計不同測評對象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列出。