1 测评方案1.1 测评流程依据GBT 28448-2012信息安全技术 信息系统安全等级保护测评要求,我们以信息安全技术 信息系统安全等级保护测评过程指南(GBT 28449-2012)为测评输入,采取相应的(包括:访谈、检查、测试)测评方法,按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。信息系统等级测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动,基本工作流程图如下:图表1等级测评工作流程图1.2 测评力度测评力度 信息系统安全保护等级二级系统三级系统访谈 广度测评对象在种类和数量上抽样,种类和数量都较多测评对象在数量上抽样,在种类上基本覆盖深度 充分较全面检查广度 测评对象在种类和数量上抽样,种类和数量都较多测评对象在数量上抽样,在种类上基本覆盖深度 充分较全面
