GB/T 28219-2018 测试项目及测试方法详情介绍

GB/T 28219-2018《服务外包信息保护规范》主要规定了服务外包中的信息保护相关要求，其测试项目及方法如下：

信息分类分级测试

• 依据信息的敏感性和重要性对信息资产进行分类分级。通过评估信息的泄露、篡改或丢失对组织可能造成的影响程度，将信息分为不同类别和级别，如公开信息、内部信息、机密信息等。

访问控制测试

• 检查访问控制策略的有效性。通过模拟不同权限用户的访问操作，验证是否只有授权用户能够在其授权范围内访问相应信息资源，未授权用户则被拒绝访问。

• 审查用户认证机制的强度。测试用户名 /密码、数字证书、生物识别等认证方式是否可靠，能否有效防止非法用户的冒用。

数据加密测试

• 评估数据加密算法的强度。使用专业工具对加密后的数据进行破解尝试，检验加密算法是否能够抵御常见的攻击手段，确保数据在存储和传输过程中的保密性。

• 检查加密密钥的管理情况。验证密钥的生成、存储、分发、更新和销毁等环节是否符合安全要求，是否采取了足够的措施防止密钥泄露。

安全审计测试

• 审核安全审计日志的完整性和准确性。检查审计日志是否记录了所有关键的信息安全事件，包括用户登录、访问操作、数据等，且日志信息是否准确无误。

• 测试安全审计系统的报警功能。模拟各类安全事件，验证审计系统能否及时准确地发出报警信息，以便及时发现和应对安全威胁。

人员安全管理测试

• 调查人员背景审查的执行情况。通过查阅相关记录，确认是否对接触敏感信息的人员进行了全面的背景调查，包括犯罪记录、信用记录等，以降低内部人员带来的安全风险。

• 评估人员安全培训的效果。通过问卷调查、现场提问或实际操作等方式，考查相关人员对信息安全政策、操作规程等知识的掌握程度，以及在实际工作中是否能够正确执行安全措施。

物理安全测试

• 检查数据中心等场所的物理访问控制措施。查看是否设置了门禁系统、监控摄像头等设施，限制未经授权人员的进入，并确保物理环境的安全性。

• 评估数据存储设备的物理保护情况。检查存储设备是否放置在安全的位置，是否具备防火、防水、防盗等防护措施，以防止因物理破坏导致数据丢失或泄露。