| 本市重要信息系统安全测评FAQ |
| 为什么要进行系统安全测评? |
为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)文,市里去年10月召开了全市信息安全保障工作会议,成立了市网络与信息安全协调小组及其办公室,印发了《关于进一步加强上海市信息安全保障工作的意见》(沪委办【2004】24号),24号文明确提出:对本市基础信息网络、涉及国计民生系统及财政性资金建设的重要信息系统,要强制实施安全测评。 |
| 什么是系统安全测评? |
系统安全测评是由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
特别值得一提的是:系统安全测评的目的是通过提出安全改进建议,帮助用户将风险控制/转移/降低在国家安全标准允许或公众接收的许可范围内,而决不是消除安全风险。 |
| 本市系统安全测评的实施主体是谁? |
| 上海市信息安全测评认证中心(简称测评中心)作为本市专门从事信息安全测评认证的第三方机构,受上海市网络与信息安全协调小组及其办公室委托,具体负责组织实施本市信息系统安全测评工作。 |
| 系统安全测评的政策依据及标准依据? |
政策法规依据:《上海市公共信息系统安全测评管理办法》(上海市人民政府令第58号)
标准依据:GB/T 18336:《信息技术 安全技术 信息技术安全性评估准则》、DB31/T 272:《计算机信息系统安全测评通用技术规范》、ISO/IEC 17799:《Information technology – Code of practice for information security management》等标准和相关行业技术规范。 |
| 系统安全测评的主要方法? |
|
根据确定的测评内容,现场测评将主要采取文档核查、技术配置核查、技术案例验证、脆弱性测试(扫描)、渗透性测试等方式。 |
| 安全测评是否会影响系统的业务正常运行? |
| 除漏洞扫描及渗透性测试外,大部分测评方式不会对系统的业务运行造成影响。即使是渗透性测试,也仅仅是为了验证漏洞存在给系统可能造成的后果(如文件窃取、控制修改关键程序/进程等),而不是以破坏系统为目的。测评人员在执行渗透性测试前,会将详细的渗透测试方案与用户交流,包括渗透测试对象、测试强度、可能后果、提前备份等要求,并经用户认可后方能实施。 |
系统安全测评的结果形式是什么?
|
测评中心综合分析对信息系统现场核查、技术测试以及安全管理体系的评估结果,出具《信息系统安全测评报告》,报告中将对系统运行情况是否达到规定的安全要求作出评价、并将给出系统安全改进建议,对于符合相关标准要求者颁发《上海市信息系统安全测评证书》。 |
| 系统安全测评的收费标准? |
| 测评中心目前执行的测评收费标准是《国家计委、国家质量技术监督局关于印发产品质量认证收费管理办法和收费标准的通知》(计价格【1999】1610号),各系统因网络结构、业务类型、技术机制不一样,安全测评的收费也会有所差别。 |
|
