44
Bureau of Standards, Metrology and Inspection
資訊安全管理之第三方稽核的資訊安全
技術評估方法初探
-
根基於中國大陸之信息安全等級保護
測評要求(上)
樊國楨/異術科技股份有限公司
林惠芳/新竹市稅務局
黃健誠/國立臺灣大學資訊管理學研究所
摘 要
自
2010
年起,中國大陸正式開展其:「信息安全等級保護管理辦法」第
14
條要求之等級測評工作項目,至
2012
年
3
月
16
日,中國大陸已有
108
家測評機
構通過其測評能力評鑑,其中
24
家並通過
ISO/IEC 17020
的檢驗機構之能力評
鑑,
22
家亦通過
ISO/IEC 17025
的測試實驗室之能力評鑑
[1]
;其目的在於經由資
訊(訊息)系統安全等級之測評,使資訊系統安全保護態勢逐步達到等級保護的
要求
[1~5]
。
「無規矩,不足以成方圓」,根基於中國大陸資訊系統等級保護測評標準系
列,本文分別闡明其之過程及要求。
關鍵詞:
1.
能力(
Capability
)。
2.
測評(
Evaluation
)。
3.
資訊(信息)安全等級保護(
Information Security Level Protection
)。
4.
標準化(
Standardization
)。
壹、前言
「居安思危,思則有備,有備無患,敢以此規」遵循資訊安全管理系統之規
範,圖
1.1
及表
1.1
是資訊安全風險管理過程示意及其說明,對此方面有興趣更
