§2测评指导书开发要点和审核要点

Categories:

  少于1分钟  

作业指导书是现场测评的主要测评工具,主要包括:

  1. 安全物理环境作业指导书
  2. 安全通信网络作业指导书
  3. 安全区域边界作业指导书
  4. 安全计算环境作业指导书
  5. 安全管理中心作业指导书
  6. 安全管理作业指导书

作业指导书开发基本步骤

  1. 从《基本要求》中选择“控制点”(测评指标)和“要求项”(测评项);
  2. 从《测评要求》中选择“测评方法”;
  3. 结合信息系统实际情况调整“测评方法”;
  4. 形成最终作业指导书

作业指导书开发要点和审核要点

  1. 对于部分要求项包含多个细分要求的,作业指导书应覆盖全部细分要求,不应出现部分要求测评方法或预期结果缺漏的情况;
  2. 测评方法或预期结果需能够完整描述测评对象的安全状态,建议采用“测评方法——具体对象/事项——安全状态描述”的三段式描述;
  3. 当某一层面适用多类型对象时,作业指导书应根据不同类型对象分别编制作业指导书;

❗ 比如安全计算环境中,针对不同厂家的设备、不同品牌的数据库、不同类型的操作系统等均应编制不同的作业指导书。