软件系统安全测评
应用系统部署到甲方或最终客户的网络环境中时,甲方或最终客户要求软件开发商对系统进行第三方入网前的安全评估并出具入网安全测评报告。信息系统或者软件作为产品进行销售时,入网安全测评报告也是必不可少的一项。
服务介绍
软件系统安全测评是网络安全风险评估的一种,简单来说就是在信息系统在接入互联网之前进行网络安全风险评估,提前确定系统的网络安全漏洞情况,是否存在高中威胁,是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。应用系统部署到甲方或最终客户的网络环境中时,甲方或最终客户要求软件开发商对系统进行第三方入网前的安全评估并出具入网安全评估报告。以确保应用系统部署到甲方或最终客户网络环境中不存在中、高危风险漏洞保证其系统的运行不对现有网络造成安全威胁。
什么场景需要软件系统安全测评?
内部信息系统自测评需要
一般一些大型的信息系统,在接入网络之前,都需要第三方提供入网安全测评报告,这样可以作为信息系统正式上线前的测评,为系统是否可以正式开始进行运作提供参考依据。另外,当大型系统进行了功能升级或者系统变更时,也需要出具入网安全评估报告。一般来说,物流仓储系统、电力系统、金融系统、行政系统等等大型信息系统,会通过公开招标的方式来寻找合适的入网安评服务商。
第三方开发的信息系统验收时
客户要求在验收时出具入网安全评估报告时,进行入网安全测评后客户才可以更放心的使用您为他开发的信息系统,特别是一些涉及公司或单位的敏感数据的系统,更是需要入网安全测评。否则,一旦出现安全事故,对业主交产生非常严重的影响。而对于技术提供商来说,如果没有开展入网安全评估,信息系统安全问题带来的问题,很难分清楚责任归属,而且很有可能会需要承担一定的赔偿责任。
信息系统或软件作为产品推广时
当公司开发了具体一定通用性的信息系统或者软件并规划为产品进行推广销售时,入网安全测评是非常重要的,入网安全测评报告是产品参数非常必要的一项。近几年国家公安部和网信办对信息化产品的安全规范越来越严格,产品具备入网安全测评报告不但能满足安全规范,同时也能大大提高客户的信任度和产品的竞争力,有利于产品的推广和销售。
软件系统安全测评依据
法律法规
- 《中华人民共和国网络安全法》(2017年6月1日)
- 国务院第147号令《中华人民共和国计算机信息系统安全保护条例》
- 《国家信息化领导小组关于加强信息安全保障工作的意见》
- 《关键信息基础设施安全保护条例》征求意见稿
- 《电力行业信息安全等级保护管理办法》国能安全[2014]318号
- 公安部《信息安全等级保护管理办法》公通字[2007]43号
- 公安部《网络安全等级保护条例》征求意见稿
主要标准
- 计算机信息系统安全保护等级划分准则(GB 17859-1999)
- 网络安全等级保护实施指南(GB/T25058)
- 网络安全等级保护定级指南(GB/T22240)
- 网络安全等级保护基本要求(GB/T22239-2019)
- 网络安全等级保护设计技术要求(GB/T25070-2019)
- 网络安全等级保护测评要求(GB/T28448-2019)
- 网络安全等级保护测评过程指南(GB/T28449-2018)
软件系统安全测评常见问题
测试所取得的信息是否会外泄?
我们绝对不会把任何客户测试数据泄露给第三方。所有测试结果都只会通过报告形式发送给客户。
测试结束后是否可高枕无忧?
恶意攻击者的手法层出不穷,不能完全保证不会被新的攻击方式入侵。因此建议定期进行安全性测试。
软件系统安全测评需要什么资质,贵公司是否具有?
公司已获得信息安全风险评估服务资质,符合ISCCC-ISV-C01:2017《信息安全服务规范》信息安全风险评估三级服务资质要求。
测评后能提供什么报告?
符合ISCCC-ISV-C01:2017《信息安全服务规范》的《渗透测试报告》《入网安全测评报告》。