信息安全等级保护之管理要求→系统建设管理→测试验收

一、要求内容 

a)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告; 

b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告; 

c)应对系统测试验收的控制方法和人员行为准则进行书面规定; 

d)应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作; 

e)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。 

二、实施建议 

作为测试验收的标准至少需要保证功能和安全两方面满足要求,测试工作要由专门人员或部门负责,对于自身缺少测试能力的公司需要委托第三方公司帮助完成测试工作。 

三、常见问题 

多数测试工作只是对功能完整性和可用性进行测试,未对安全性和可能存在的安全隐患进行测试。 

四、实施难点 

无。 

五、测评方法 

形式 访谈,检查。 对象 系统建设负责人,测试方案,测试记录,安全性测试报告,系统验收报告,测试验收管理文档。 

实施 

a) 应访谈系统建设负责人,询问在信息系统正式运行前,是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试; 

b) 应访谈系统建设负责人,询问是否指定专门部门负责测试验收工作,由何部门负责,是否对测试过程(包括测试前、测试中和测试后)进行文档化要求; 

c) 应访谈系统建设负责人,询问是否根据设计方案或合同要求组织相关部门和人员对安全性测试和验收报告进行符合性审定; 

d) 应检查工程测试方案,查看其是否对参与测试部门、人员、现场操作过程等进行要求;查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容; 

e) 应检查是否具有系统安全性测试报告,查看测试报告是否提出存在问题及改进意见等,并有第三方测试机构的签字或盖章; 

f) 应检查是否具有系统验收报告; 

g) 应检查测试验收管理文档是否对系统验收测试的过程控制、参与人员的行为等进行规定,是否根据实际工作中出现的问题而做过相应改进。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对测试验收的要求: 

5.8.2.5 建设项目测试验收 对建设项目测试验收要求,不同安全等级至少应满足以下要求的一项或多项: 

a)功能和性能测试要求:应明确对信息系统建设和改造项目进行功能及性能测试,保证信息系统建设项目的可用性;进行必要的安全性测试;应指定项目测试验收负责人。 

b)安全性测试要求:在a)的基础上,应明确信息系统建设和改造项目的安全系统需要进行安全测试验收,并规定安全测试验收负责人;测试验收前,应制订测试和接收标准,并在接收前对系统进行测试;管理者应确保新系统的接收要求和标准被清晰定义并文档化;

对安全系统的测试至少包括: 

——对组成系统的所有部件进行安全性测试;

——对系统进行集成性安全测试; 

——对业务应用进行安全测试等。 

c)进一步的验收要求:在c)的基础上,在信息系统建设和改造项目验收时至少还应考虑: 

——性能和计算机容量的要求; 

——错误恢复和重启程序,以及应急计划; 

——制定并测试日常的操作程序以达到规定的标准; 

——实施业经同意的安全控制措施; 

——有效的指南程序; 

——已经考虑了新系统对组织机构的整体安全产生影响的证据; 

——操作和使用新系统的培训。

如若转载,请注明出处:http://www.codingwhy.com/view/297.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com