安全建设管理
控制点
7.
测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理,需明确测试验收的操作步骤、人员要求等。
a)
安全要求(一般):应制定测试验收方案,并根据测试验收方案实施测试验收,形成测试验收报告。
要求解读:此项的测试验收,既包括外包单位项目实施完成后的测试验收,也包括机构内部由项目开发部门移交给运维部门时的验收等。
测评方法
1.访谈系统建设负责人,了解是否已对测试验收进行管控。
2.核查是否有测试验收方案和测试验收报告。
期望结果
1.工程测试验收方案中明确说明了参与测试的部门、人员及测试验收内容、现场操作过程等。
2.测试验收报告中有相关部门和人员的审定意见。
b)
安全要求(关键):应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
要求解读:为了保证系统建设工程按照既定方案和要求实施并达到预期要求,在工程实施完成之后,系统交付使用之前,应当指定或授权专业机构依据安全方案进行安全性测试。
一般情况下,上线前的安全测试应由第三方测试单位进行,第三方测试单位是指非系统拥有者和系统建设方。
测评方法
1.访谈系统建设负责人,了解在系统上线前是否已开展安全性测试。
2.核查安全性测试是否包括密码应用方面的内容。
第三方测试有别于开发人员或用户进行的测试,其目的是为了保证测试工作的客观性。第三方测试单位大都是权威的专业测试机构,能够针对物理环境、硬件设施、软件设施等方面可能存在的缺陷或问题进行测试。
期望结果
有上线前的安全测试报告,其中包括与密码应用安全性测试相关的内容。
高风险判定
1.满足以下条件即可判定为高风险:(三级及以上系统)
系统上线前未开展任何安全性测试,或未对测试发现的高风险问题进行安全评估和整改。
2.补偿因素:
定级对象建成时间较长,上线前虽未进行安全性测试,但上线后定期进行安全检测,且检测后未发现高危风险隐患,可根据实际测试效果酌情判定风险等级。
原文始发于微信公众号(网络安全等保测评):安全建设管理-(七)测试验收
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论