等级测评办法等级测评施行的根本办法是针对特定的测评目标,选用相关的测评手法,遵照必定的测评规程,获取需求的依据数据,给出是不是到达特定等级安全维护才能的评判。等级测评施行的详细流程和办法见GB/T 28448一2019GB/T 28449—2018。
本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的一切详细测评内容构成测评施行。单项测评中的每一个详细测评施行要求项(以下简称"测评要求项)是与安全操控点下面所包含的要求项(测评目标)相对应的。在对每一要求项进行测评时,或许用到访谈、核对和测验三种测评办法,也或许用到其间一种或两种。测评施行的内容彻底覆盖了中一切要求项的测评要求,使用时应当从单项测评的测评施行中抽取出关于GB/T 22239—2019中每一个要求项的测评要求,并依照这些测评要求开发测评辅导书,以标准和辅导等级测评活动。依据调研成果,剖析等级维护目标的事务流程和数据流,确认测评作业的规模。结合等级维护目标的安全等级,归纳剖析体系中各个设备和组件的功用和特性,从等级维护目标构成组件的重要性、安全性、共享性、全面性和恰当性等几方面特点确认技能层面的测评目标,并将与其相关的人员及办理文档确认为办理层面的测评目标。测评目标可以精确的经过类别加以描绘,包含机房、事务应用软件、主机操作体系、数据库办理体系、网络互联设备、安全设备、访谈人员及安全办理文档等。等级测评活动中触及测评力度,包含测评广度(覆盖面)和测评深度(强弱度)。安全维护等级较高的测评施行应挑选覆盖面更广的测评目标和更强的测评手法,可以得到可信度更高的测评依据,测评力度的详细描绘拜见附录A。每个等级测评要求都包含安全测评通用要求、云核算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业操控办理体系安全测评扩展要求5个部分。大数据可参阅安全评价办法拜见附录B。