GB/T 28219-2018《服务外包信息保护规范》主要规定了服务外包中的信息保护相关要求,其测试项目及方法如下:
信息分类分级测试
依据信息的敏感性和重要性对信息资产进行分类分级。通过评估信息的泄露、篡改或丢失对组织可能造成的影响程度,将信息分为不同类别和级别,如公开信息、内部信息、机密信息等。
访问控制测试
检查访问控制策略的有效性。通过模拟不同权限用户的访问操作,验证是否只有授权用户能够在其授权范围内访问相应信息资源,未授权用户则被拒绝访问。
审查用户认证机制的强度。测试用户名 /密码、数字证书、生物识别等认证方式是否可靠,能否有效防止非法用户的冒用。
数据加密测试
评估数据加密算法的强度。使用专业工具对加密后的数据进行破解尝试,检验加密算法是否能够抵御常见的攻击手段,确保数据在存储和传输过程中的保密性。
检查加密密钥的管理情况。验证密钥的生成、存储、分发、更新和销毁等环节是否符合安全要求,是否采取了足够的措施防止密钥泄露。
安全审计测试
审核安全审计日志的完整性和准确性。检查审计日志是否记录了所有关键的信息安全事件,包括用户登录、访问操作、数据等,且日志信息是否准确无误。
测试安全审计系统的报警功能。模拟各类安全事件,验证审计系统能否及时准确地发出报警信息,以便及时发现和应对安全威胁。
人员安全管理测试
调查人员背景审查的执行情况。通过查阅相关记录,确认是否对接触敏感信息的人员进行了全面的背景调查,包括犯罪记录、信用记录等,以降低内部人员带来的安全风险。
评估人员安全培训的效果。通过问卷调查、现场提问或实际操作等方式,考查相关人员对信息安全政策、操作规程等知识的掌握程度,以及在实际工作中是否能够正确执行安全措施。
物理安全测试
检查数据中心等场所的物理访问控制措施。查看是否设置了门禁系统、监控摄像头等设施,限制未经授权人员的进入,并确保物理环境的安全性。
评估数据存储设备的物理保护情况。检查存储设备是否放置在安全的位置,是否具备防火、防水、防盗等防护措施,以防止因物理破坏导致数据丢失或泄露。