等級保護測評服務一般是指由第三方測評機構為企業/事業單位開展的等級保護符合性測評。但是,由於提供等級保護測評服務的公司或者測評機構不同,具體的服務內容和服務流程將有所差別。
一般來說等級保護測評服務包括以下內容:
2、開展等級保護測評後,測評機構需要開具等級保護測評報告,測評的結果有兩種:符合和不符合。
3、對於不符合標準的測評物件(一般是指資訊系統)需要依據整改清單,進行相關的系統公升級,網路資訊保安加固,完善網路安全相關的制度和人員管理方法等。技術方面不符合要求的,可以自我整改,或者尋找第三方的網路安全服務商提供技術支援,一般來說,等級保護測評不包括整改部分的服務,除非在事先已經另行約定包括其中的除外。其外,在管理制度整改方面,可以根據整改建議自行修改,但是也可以讓測評機構協助整改。
由於涉及的管理制度和以及日後的人員管理,被測評單位能夠深入了解和學習,並對主要的管理負責人進行對應的培訓。這更有利於真正做的合規的網路安全等級保護。
一般等級保護測評服務流程如下圖所示:
等級保護測評主要測以下十個層面:
安全技術測評:
安全技術測評包括:物理安全、網路安全、主機安全、應用安全、資料安全。
安全管理測評:
安全管理測評包括:安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
技術層面具體的物件是:
1、機房,本測評單位將對資訊系統運營使用單位重要資訊系統的機房、配電間、消防間等相關物理環境進行測評,分析其中的問題以及不符合要求的地方。
2、業務應用軟體,本測評單位將對資訊系統運營使用單位重要資訊系統進行測評,從應用軟體的安全機制方向,分析應用系統中存在的安全隱患與問題。
3、主機作業系統,本測評單位將對資訊系統運營使用單位重要資訊系統相關的伺服器的作業系統進行測評,從訪問控制、安全審計、剩餘資訊保護、入侵防範、惡意**防範、資源控制等方向分析其中的安全隱患與問題。
4、資料庫系統,本測評單位將對資訊系統運營使用單位重要資訊系統所使用的資料庫進行測評,從身份鑑別、訪問控制、安全審計、資源控制方向分析其中的安全隱患與問題。
5、網路裝置,本測評單位將對資訊系統運營使用單位重要資訊系統的網路裝置進行測評,從訪問控制、安全審計、網路裝置防護等方向分析其中的安全隱患與問題。
具體測評內容控制點及要求項比較多,統計如下:二級系統控制點66個,要求項175;**系統控制點73個,要求項290個。
最終經過等級保護測評之後,申請測評單位主要能收穫哪些呢?
01.被測系統取得的備案證明資料、等級保護測評報告和安全建設整改方案。
02.通過等級保護測評之後我們的系統資訊保安防護能力得到了提高,安全風險被有效降低,前提是我們在發現問題後進行一定的安全整改。
最後,時代新威建議大家,在落實等級保護制度的同時,不僅要思考如何滿足相關規定要求,更要為如何提高安全運維工作效率方面多考慮一下。希望各位使用者能及早通過等級保護測評,讓業務系統安全穩定執行起來!
等級保護2 0二級通用要求測評方法
等級保護2.0二級通用要求測評方法 目錄安全物理環境 1 物理位置選擇 1 測評單元 l2 pes1 01 1 測評單元 l2 pes1 02 1 物理訪問控制 2 測評單元 l2 pes1 03 2 防盜竊和防破壞 2 測評單元 l2 pes1 04 2 測評單元 l2 pes1 05 2 防雷擊...
二級等級保護要求
技術要求項 二級等保 實現方式 網路安全 結構安全與網段劃分 網路裝置的業務處理能力應具備冗餘空間,要滿足業務高峰期需求 應設計和繪製與當前運 況相符合的網路拓撲結構圖 應根據機構業務特點,在滿足業務高峰需要的基礎上,合理設計網路寬頻 應在業務終端與業務伺服器之間進行路由控制,建立安全的訪問路徑 應...
一文讀懂等級保護測評流程
等級保護是我國資訊保安保障的基本制度 基本策略和基本方法。時代新威作為國內首批獲得等級保護測評機構認定的企業,在等級保護服務實踐中形成了等保全生命週期服務,從定級備案諮詢 安全建設整改 等級保護測評 到監督檢查改進均能夠提供專業的參考,在輔助企業完成等級保護建設工作的同時,實際提公升系統運營使用單位...