第一步:企业自测
企业应在IDC/ISP信息安全管理系统建设工程完毕后,自行组织或委托第三方进行前面的系统测试,并向行业主管部门认可的评测机构提交自测报告。自测相关内容、方法、操作和结果应符合相关技术规范要求。
为保障现场技术评测质量和相关工作的顺利开展,合理统筹评测机构相关资源,申请IDC/ISP业务经营许可的企业应当限期完成相关系统的自测,并在申请现场评测的同时提交自测报告。
评测依据:YD/T 2406-2012《IDC/ISP信息安全管理系统及接口测试方法》
评测内容:
基础数据管理功能(涉及如业务相关基础数据信息管理和查询、IP地址异常监测和信息上报等);
访问日志管理功能(涉及IDC企业监测、日志记录统计和查询等);
信息安全管理功能(涉及如违法违规网站管理、违法信息监测和发现、违法信息过滤处置等);
系统处理能力(涉及如系统规则容量、规则匹配准确率、数据更新及上报时限、记录查询响应时间等)。
评测方法:
现网拨测:通过公网终端访问测试参考站,适用于访问日志、违法信息监测与过滤等测试项目;
仪表仿真:通过测试工具构造管理侧系统指令,模拟现网数据量,进行借口、性能等测试项目;
手工查看验证:通过手工方式进行数据管理、结果查验等,如基础数据添加、修改、删除等测试项目。
结果判定:各测试单项需逐项进行,现场测试结果与有关标准任一预期结果要求不相符合,即判定相应单项的检测结果为“不通过”。
其他要求:
受检企业应承诺对所提供IDC/ISP信息安全管理系统有关信息的真实性和有效性负责。(如现场评测过程中发现有关系统/设备情况与材料不符,则判定测试不通过)
受检企业应承诺能按照评测任务排期确认的时间如期开始测试。(如因申请企业或受测系统问题造成现场评测任务超期的,未完成部分项目按监测不通过处理。)
受检企业应承诺在现场评测期间部队有关系统/设备进行补丁更新或升级。(如现场评测过程中发现受检企业进行未提前声明的补丁更新或升级操作,则判定测试不通过。)
受检企业应承诺所提供测试账号权限以及用于挂机仪表的接口、IP地址的有效。(确保没有未声明的路由、会话访问等控制策略限制。)
第二步:现场技术检测
自测通过且自测报告符合模板要求的企业,可申请对IDC/ISP信息安全管理系统进行现场技术检测。现场技术检测除覆盖系统主要功能外,还侧重对系统性能指标及应用效果进行评估。
申请材料:IDC/ISP业务用局址/机房信息登记表(每个机房一份);受检系统功能和操作说明材料;受检系统技术方案、设备部署及拓扑、策略应用等情况说明材料;受检系统自测试报告;受检系统相关测试用账号和口令说(如系统有多级账号权限,则提供各个权限级别的测试用账号和相应口令)明材料;受检系统与主管部门管理平台接口参数说明材料;受检系统前/后台相关设备地址列表、设备软/硬件版本信息等说明材料;现场检测有关其他材料。
