《GAT 713-2016 信息安全技术信息系统安全管理测评》.pdf

ICS 35.020 L09 GA 中华人民共和国公共安全行业标准 GA/T 713-2007 信息安全技术 信息系统安全管理测评 Information security technology - Information system security management testing and evaluation 2007-08-13 发布 2007-10-01 实施 中华人民共和国公安部 发 布 GA/T 713-2007 目 次 前 言 IV 引 言V 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 管理评估的基本原则 1 5 评估方法2 5.1 调查性访谈2 5.1.1 调查性访谈主要对象 2 5.1.2 调查性访谈准备 2 5.1.3 调查性访谈阶段划分 2 5.1.4 调查性访谈质量控制 2 5.2 符合性检查3 5.2.1 符合性检查主要对象 3 5.2.2 符合性检查方法 3 5.2.3 符合性检查质量控制 3 5.3 有效性验证4 5.3.1 有效性验证主要对象 4 5.3.2 有效性验证方法 4 5.3.3 有效性验证质量控制 4 5.4 监测验证5 5.4.1 监测验证的主要依据 5 5.4.2 监测验证方法 5 5.4.3 监测验证质量控制 6 6 评估实施6 6.1 确定评估目标 6 6.2 控制评估过程 7 6.3 处理评估结果8 6.4 建立保障证据8 7 分等级评估8 7.1 第一级：用户自主保护级 8 7.1.1 管理目标和范围评估 8 7.1.2 策略和制度评估 8 7.1.3 机构和人员管理评估 9 7.1.4 风险管理评估 9 7.1.5 环境和资源管理评估 9 7.1.6 运行和维护管理评估 9 7.1.7 业务连续性管理评估 10 7.1.8 监督和检查管理评估 10 7.1.9 生存周期管理评估 10 7.1.10 实施原则及方法 10 I GA/T 713-2007 7.2 第二级：系统审计保护级 11 7.2.1 管理目标和范围评估 11 7.2.2 策略和制度评估 11 7.2.3 机构和人员管理评估 11 7.2.4 风险管理评估 11 7.2.5 环境和资源管理评估 11 7.2.6 运行和维护管理评估 12 7.2.7 业务连续性管理评估 12 7.2.8 监督和检查管理评估 12 7.2.9 生存周期管理评估 12 7.2.10 实施原则及方法 13 7.3 第三级：安全标记保护级 13 7.3.1 管理目标和范围评估 13 7.3.2 策略和制度评估 13 7.3.3 机构和人员管理评估 13 7.3.4 风险管理评估 13 7.3.5 环境和资源管理评估 14 7.3.6 运行和维护管理评估 14 7.3.7 业务连续性管理评估 14 7.3.8 监督和检查管理评估 15 7.3.9 生存周期管理评估 15 7.3.10 实施原则及方法 15 7.4 第四级：结构化保护级 15 7.4.1 管理目标和范围评估 15 7.4.2 策略和制度评估 15 7.4.3 机构和人员管理评估 16 7.4.4 风险管理评估 16 7.4.5 环境和资源管理评估 16 7.4.6 运行和维护管理评估 16 7.4.7 业务连续性管理评估 17 7.4.8 监督和