1 范围
本标准规定了信息技术应用创新项目网络安全绩效评估的要素和方法。
本标准适用于组织或第三方评价机构对信息技术应用创新项目网络安全的绩效评估工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语
3 术语和定义
下列术语和定义适用于本文件。
3.1
自主可控 independently controllable
依靠自身研发设计,全面掌握产品核心技术,实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。
3.2
通信安全 communication security
保护网络中所传输信息的完整性、保密性、可用性等。
3.3
入侵防护intrusion prevention
是一种可识别潜在的威胁并迅速地做出应对的网络安全行为。
3.4
网络安全 cyber security
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 1
3.5
身份鉴别 identification
通过相关技术,将实体标识和实体联系在一起,为其他安全服务提供支撑。
3.6
绩效评估 performance evaluation
按照设置的评价指标,对工作业绩进行的评价。
3.7
经济效益 economic benefit
从信息化项目产生的直接、间接经济效益出发,表征信息化项目在资金占用、成本支出与有用成果之间的比较。
4 评价原则
4.1 面向需求原则
确定评估重点和相关细则时应充分考虑信息技术应用创新项目的特点和对应的具体需求。
4.2 科学性原则
选择科学的分析及评价方法,坚持定性与定量相结合。
4.3 客观性原则
评估所用的数据必须以符合法律、法规及相关文件规定的方式获得,确保数据来源的可靠性、准确性,并根据项目的具体情况,实事求是的开展评估工作。
4.4 公正性原则
评估人员要客观、合理的采集信息材料,对项目具体情况进行观察、分析和判断,按照评估要求独立打分,做出相关评价。
4.5 系统性原则
评估要全面、综合、系统地考虑各个方面情况。
5 评估的主要内容
图1 评估的主要内容图
6 评估指标
6.1 通信安全
信息技术应用创新项目的网络通信安全,是针对通信网络提出的安全控制要求。评估指标包括网络安全传输、网络访问控制、网络入侵防范、网络恶意代码防范、网络安全审计、自主可控等。
表1 通信安全评估指标及要素说明表
3
6.2 计算安全
信息技术应用创新项目的计算安全是针对系统内部应用平台相关方面提出的安全要求。评估的主要对象为网络设备、安全设备、计算机终端、应用系统、数据对象和其他设备等,评估的安全点包括用户身份鉴别、自主访问控制、系统入侵防范、恶意代码防范、系统安全审计以及自主可控等。
表2 计算安全评估指标及要素说明表
6.3 数据安全
信息技术应用创新项目的数据处理安全,评估指标包括数据采集、数据传输、数据应用、数据存储、数据共享、数据销毁以及数据的备份与恢复等环节进行安全评估。
表3 数据安全评估指标及要素说明表
6.4 安全管理
信息技术应用创新项目的安全管理,评估指标包括安全管理制度、人员管理、安全意识教育和培训以及安全等级保护测评等。
表4 安全管理评估指标及要素说明表
5
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议