對信息系統安全管理的評估應堅持科學性�、有效性�、公正性等基本原則�,即評估的原理���、方法�����、流程�����、具體要求是科學的���,正確的���;評估的方法�、流程等是可操作的���,成本和效率等方面可接受�����;評估結果是客觀公正的���,評估機構是中立權威的���。
還應遵循以下原則:
—— 有效性原則:根據充分考慮信息系統功能�����,信息資產的重要性�,可能受到的威脅及面臨的風險�����,評估整個安全管理體系的有效性���;
—— 體系化原則:根據的信息系統安全管理原則�,針對安全管理體系基本要素�����,評估安全管理體系是否完整���。
—— 標準化原則:根據各保護等級的安全管理目標���,重點檢查���、評估安全管理標準化工作情況�;識別和理解信息安全保障相互關聯的層面和過程�,采用管理和技術結合的方法���,提高實現安全保障目標的有效性和效率���;
—— 一致性原則:根據各保護等級系統的安全管理應貫穿整個信息系統的生存周期�����,評估時重點檢查信息系統設計���、開發�����、部署���、運維各個階段的安全管理措施是否都到位���;
—— 風險可控性原則:信息安全管理工作是信息系統安全穩定運行的基礎�,安全管理的安全性直接決定了信息與信息系統的安全性�,在評估管理體系時�,應注意相關安全管理的可靠性���、可控性���,確保管理行為和風險得到控制���;
—— 安全管理保證原則:根據各保護等級安全管理條款�����,要求評估時應根據信息系統安全管理工作的保證情況�����,實事求是地根據實際保證證據決定是否達到相應保護等級安全管理要求的標準�;
—— 客觀性和公正性原則:評估工作應擺脫自身偏見���,避免主觀臆斷���,堅持實事求是�,按照評估工作相關各方相互認可的評估計劃和方案���,基于明確定義的評估要求�,開展評估工作�����,給出可靠結論�。
等保測評咨詢
