如何规避测评风险,济南办理等保的好处
如何规避测评风险,济南办理等保的好处
产品价格:¥999(人民币)
  • 规格:济南办理等保的好处
  • 发货地:本地至全国
  • 品牌:
  • 最小起订量:1件
    • QQ洽谈 点击询价 进入商铺
    济南恒标知识产权咨询有限公司
    免费会员
    会员级别:试用会员
    认证类型:企业认证
    企业证件:通过认证
    认证信息:济南恒标知识产权咨询有限公司

    商铺名称:济南恒标知识产权咨询有限公司

    联系人:李景行(先生)

    联系手机:

    固定电话:

    企业邮箱:152184192@qq.com

    联系地址:济南市历下区山大路创展中心208

    邮编:250000

    联系我时,请说是在线缆网上看到的,谢谢!

    商品详情
      如何规避测评风险,济南办理等保的好处 

      网络安全测评行业是一个极具挑战性的行业,整个测评流程不单单局限于技术层面,还涉及单位的管理层面,整个测评工作的生命周期内会出现各种各样的问题,如何管理和规避测评工作中的风险,成为测评工作是否取得成功的关键。 

      1、常见风险 

      等级测评实施过程中,可能出现以下几方面的情况。 

      (1)验证测试影响系统正常运行 

      在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。 

      (2)工具测试影响系统正常运行 

      在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。 

      (3)敏感信息泄露 

      泄露被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。 

      (4)测评工作进度风险 

      由于测评涉及范围广,测评进度的控制绝非易事,不仅取决公司的技术能力,服务水平,同时在很大程度上受到对范围控制是否有效、对测评投入(包括人员时间的投入和资金等的投入)是否足够等方面的影响。在实际实施过程中,并非所有用户对本次安全等级测评测评实施理解与认同,因此,在测评实施时,可能一味在测评进度计划时求快,甚或刻意追求某个具有特殊意义的日期作为测评里程碑,将对测评进度控制造成很大压力。当然,可能由于种种原因,如测评环境不具备、人员没有到位,测评工具问题等,造成测评进度拖延。 

      (5)测评工作中人力资源的风险 

      测评工作主要由不同岗位的测评人员对单位网路产品、安全产品、系统产品及管理进行的安全合规性检查活动。人力资源是测评实施过程中最为关键的资源。保证合适的人员以足够的精力参与到测评中来,是测评成功实施的基本保证。 

      (6)测评范围风险 

      合同中测评范围与实际实施过程中项目的结构规模有误而造成的。 

      (7)测评质量风险 

      由于在项目建设过程中未确立标准的质量考核体系以及对质量指标监控不严造成的。 

      (8)对测评认识不正确的风险 

      测评实施过程中,被测系统单位人员往往对测评本身不够重视,没有详尽地描述系统的基本安全状况,现场测评的访谈环节没有对测评人员的需求给予明确的解答,这样导致在测评过程中访谈和工具测试结果不吻合,使得测评结果不能反映系统存在的问题,甚至被测评单位不认可最后的测评报告。 

      (9)对实际环境不熟悉的风险 

      由于用户的网络环境及应用会由一定的差别,而且大部分网络应用是由软件开发商开发,不同的开发商所使用的开发工具、数据库、协议等都不相同,并且网络设备如交换机、路由器也不尽相同,这就对测评的实施提出了很高的要求,各类设备的配置不可能千篇一律,要按实际环境而调整。 

      2、风险规避 

      风险规避,是指针对网络安全测评工作中可能出现的风险,对风险进行应对和规划,降低威胁的方法和行动。不论什么风险,最后都是降低消极风险,提高积极风险,才能使工作顺利有序进行。针对测评过程可以采取以下措施进行规避风险。 

      (1)制定测评计划书 

      充分考虑各种潜在因素,适当留有余地;任务分解详细度适中,便于考核;在执行过程中,强调测评按进度执行的重要性,在考虑任何问题时,都将保持进度作为先决条件;同时,合理利用赶工及快速跟进等方法,充分利用资源。 

      (2)制定质量管理计划 

      定义出项目各子系统需要满足的质量标准,对测评各阶段的输出文档、测评记录数据几方面进行控制,记录备案并以文件的形式下达,降低风险发生的概率。 

      (3)签署委托测评协议 

      在测评工作正式开始之前,以委托测评协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求,以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识,后续的工作也以此为基础,避免以后的工作出现大的分歧。 

      (4)签署保密协议 

      签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。 

      (5)签署现场测评授权书 

      在现场测评工作开始之前,以测评授权的方式明确测评工作中双方的责任,揭示可能的风险,避免可能出现的纠纷和分歧。 

      (6)现场测评工作风险的规避 

      进行验证测试和工具测试时,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要相关技术人员对整个测评过程进行监督;在进行工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。 

      (7)测评现场还原 

      测评工作完成后,测评人员应交回测评工程中获取的所有特权,归还测评过程中借阅的相关文档,并严格清理测评过程中植入被测系统中的相关代码\程序。 

      (8)规范化的实施过程 

      为保证按实施计划、高质量地完成测评工作,需明确测评记录和测评报告要求,需明确测评过程中每一阶段需要产生的相关文档,使测评工作有章可循。在委托测评协议、现场测评授权书和测评方案中,明确双方的人员职责、测评对象、时间计划、测评内容要求等。 

      (9)沟通与交流 

      为避免测评工作中可能出现的争议,在测评开始前与测评过程中,需要进行积极有效的沟通和交流,及时解决测评过程中出现的问题,这对保证测评的过程质量和结果质量有重要的作用。 

      (10)测评实施中的风险监控 

      采取以下措施对测评实施中的风险进行监控,以防止危及测评成败的风险发生。建立并及时更新测评风险列表及风险排序。测评管理人员随时关注与关键风险相关因素的变化情况,及时决定何时、采用何种风险应对措施
    在线询盘/留言
    • 产品推荐
    精品推荐
    0571-87774297