网络工程师和信息安全工程师软考（软考-信息安全工程师学习笔记84）

网络信息系统安全等级测评内容:

• 技术安全测评:有安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心
• 管理安全测评:有安全管理制度、安全管理机构、 安全管理人员、安全建设管理、安全运维管理

根据网络安全等级保护 2.0 标准规范，网络信息系统安全等级测评过程包括四个基本测评活动

• 测评准备活动
• 方案编制活动
• 现场测评活动
• 报告编制活动

网络安全渗透测试的过程可分为五个阶段

• 委托受理
• 准备
• 实施
• 综合评估
• 结题

1.委托受理阶段

售前与委托单位就渗透测试项目进行前期沟通，签署“保密协议”，接收被测单位提交的资料。前期沟通结束后，双方签署“网络信息系统渗透测试合同”。

2.准备阶段

项目经理组织人员依据客户提供的文档资料和调查数据，编写制定网络信息系统渗透测试方案。项目经理与客户沟通测试方案，确定渗透测试的具体日期、客户方配合的人员。项目经理协助被测单位填写“网络信息系统渗透测试用户授权单”，并通知客户做好测试前的准备工作。如果项需在被测单位的办公局域网内进行，测试全过程需有客户方配合人员在场 陪同。

3.实施阶段

项目经理明确项目组测试人员承担的测试项。测试完成后，项目组整理渗透测试数据， 形成“网络信息系统渗透测试报告”。

4.综合评估阶段

项目组和客户沟通测试结果，向客户发送“网络信息系统渗透测试报告”。必要时，可根据客户需要召开报告评审会，对“网络信息系统渗透测试报告”进行评审。如被测单位希望复测，由被测单位在整改完毕后提交信息系统整改报告，项目组依据“网络信息系统渗透 测试整改报告”开展复测工作。复测结束后，项目组依据复测结果，出具“网络信息系统渗 透测试复测报告”。

5.结题阶段

项目组将测评过程中生成的各类文档、过程记录进行整理，并交档案管理员归档保存。 项目组质量工作人员请客户填写“客户满意度调查表”，收集客户反馈意见

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼