2007-GAT 713-2007 关于《信息安全技术 信息系统安全管理测评》的行业标准

ICS 35.020 L09 GA 中华人民共和国公共安全行业标准 GA/T 713-2007 信息安全技术信息系统安全管理测评 Information security technology Information system security management testing and evaluation 2007-08-13 发布中华人民共和国公安部 2007-10-01 实施发布 GA/T 713-2007 目次前言 ................................................................................ IV 引言 ................................................................................. V 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 管理评估的基本原则 .................................................................. 1 5 评估方法 ............................................................................ 2 5.1 调查性访谈 ........................................................................ 2 5.1.1 调查性访谈主要对象 .............................................................. 2 5.1.2 调查性访谈准备 .................................................................. 2 5.1.3 调查性访谈阶段划分 .............................................................. 2 5.1.4 调查性访谈质量控制 .............................................................. 2 5.2 符合性检查 ........................................................................ 3 5.2.1 符合性检查主要对象 .............................................................. 3 5.2.2 符合性检查方法 .................................................................. 3 5.2.3 符合性检查质量控制 .............................................................. 3 5.3 有效性验证 ........................................................................ 4 5.3.1 有效性验证主要对象 .............................................................. 4 5.3.2 有效性验证方法 .................................................................. 4 5.3.3 有效性验证质量控制 .............................................................. 4 5.4 监测验证 .......................................................................... 5 5.4.1 监测验证的主要依据 .............................................................. 5 5.4.2 监测验证方法 .................................................................... 5 5.4.3 监测验证质量控制 ................................................................ 6 6 评估实施 ............................................................................ 6 6.1 确定评估目标 ...................................................................... 6 6.2 控制评估过程 ...................................................................... 7 6.3 处理评估结果 ...................................................................... 8 6.4 建立保障证据 ...................................................................... 8 7 分等级评估 .......................................................................... 8 7.1 第一级：用户自主保护级 ............................................................ 8 7.1.1 管理目标和范围评估 .............................................................. 8 7.1.2 策略和制度评估 .................................................................. 8 7.1.3 机构和人员管理评估 .............................................................. 9 7.1.4 风险管理评估 .................................................................... 9 7.1.5 环境和资源管理评估 .............................................................. 9 7.1.6 运行和维护管理评估 .............................................................. 9 7.1.7 业务连续性管理评估 ............................................................. 10 7.1.8 监督和检查管理评估 ............................................................. 10 7.1.9 生存周期管理评估 ............................................................... 10 7.1.10 实施原则及方法 ................................................................ 10 I GA/T 713-2007 7.2 第二级：系统审计保护级 ........................................................... 11 7.2.1 管理目标和范围评估 ............................................................. 11 7.2.2 策略和制度评估 ................................................................. 11 7.2.3 机构和人员管理评估 ............................................................. 11 7.2.4 风险管理评估 ................................................................... 11 7.2.5 环境和资源管理评估 ............................................................. 11 7.2.6 运行和维护管理评估 ............................................................. 12 7.2.7 业务连续性管理评估 ............................................................. 12 7.2.8 监督和检查管理评估 ............................................................. 12 7.2.9 生存周期管理评估 ............................................................... 12 7.2.10 实施原则及方法 .............

2007-GAT 713-2007 关于《信息安全技术 信息系统安全管理测评》的行业标准

2007-GAT 713-2007 关于《信息安全技术信息系统安全管理测评》的行业标准