类似资产管理安全吗?
类似资产是指在物权和财权上不属于测试单位但是对测试单位的业务有实质性影响的资产。一般包括托管资产、通过合作、外包/分包或提供服务而获得访问权的其他单位的资产等。包括如下形式:
一、测试单位托管或被托管系统
二、测试单位与他方合作使用的系统
三、测试单位提供服务或测试单位接受服务时涉及的他方系统
四、测试单位外包或分包出去的系统
类似资产要作为测试单位的IT系统进行等保测评,必须要进行授权,授权的范围应包括该系统在等保测评过程中所需要覆盖的物理位置、信息和数据、访问权限。在测评过程中,测评对象和测评范围应根据委托测评的系统实际情况及相关授权的约束而定,即测评活动应在授权的约束下覆盖尽可能全面的测评对象,包括硬件、软件、网络和数据等。
授权系统不作为信息系统单独定级的,应当在委托测评时提交受测评单位和授权单位信息安全管理责任划分的证明材料(如合同等)。授权单位必须在授权的约束下为测评活动提供相应的支持,包括提供系统相关配置信息、系统管理文档、安全操作记录、访问控制授权证明等。受测评单位对整个授权的系统安全管理负全部责任。