Anna艷娜
2
CISO
高級信息系統項目管理師
PMP
Anna艷娜2
CISO
高級信息系統項目管理師
PMP
滲透測試中有以下這些道德準則:
審計人員不得在和客戶達成正式協議之前對目標系統進行任何形式的滲透測試。這種不道德的營銷方法有可能破壞客戶的正常業務。在某些國家或地區,這種行為甚至可能是違法行為。
在測試過程中,在沒有得到客戶明確許可的情況下,測試人員不得進行超出測試范圍越過已約定范疇的安全測試。
具有法律效力的正式合同可幫助測試人員避免承擔不必要的法律責任。正式合同將會約定哪些滲透行為屬于免責范圍。這份合同必須清楚地說明測試的條款和條件、緊急聯系信息、工作任務聲明以及任何明顯的利益沖突。
測試人員應當遵守測試計劃所明確的安全評估的時間期限。滲透測試的時間應當避開正常生產業務的時間段,以避免造成相互影響。
測試人員應當遵循在測試流程里約定的必要步驟。這些規則以技術和管理不同角度,通過內部環境和相關人員來制約測試的流程。
在范圍界定階段,應當在合同書里明確說明安全評估業務涉及到的所有實體,以及他們在安全評估的過程中受到哪些制約。
測試結果和書面報告必須清晰,其順序必須一致。報告中提及的所有已知的和未知的漏洞,必須以安全保密的方式遞交給有權查看報告的相關責任人。
推薦文章
