最先这篇主题较为独特:为何要做等级保护评测?
剖析下为何要做等保和进行等级保护工作要求。
次之,提示诸位不可以以便过等保而做等保,等级保护仅仅信息管理系统安全性的最低水平。
等保测评的意义
级别测评是合规评判主题活动,基础根据并不是本人或是测评组织的工作经验,只是网络信息安全等级保护测评的相关法律法规规范,不论是测评指标值来源于,還是测评方式的挑选、测评內容的明确及其結果判断等主题活动均应根据我国有关的规范开展,依照特殊方式对信息管理系统的安全性维护工作能力开展科学研究公平的综合性评判全过程。
测评作用和目的
根据开展等级保护评测,可以对信息管理系统安全防范管理体系能力的剖析与确定;发觉存有的安全风险;协助经营应用企业了解不够,立即改善;合理提高其网络信息安全安全防护水准;遵照我国等级保护相关要求的规定,对信息管理系统安全性基本建设开展合乎性评测。测评的作用以下:
①掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
②衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
哪些行业需要做等保测评:
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等;
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等其它有信息系统定级需求的行业与单位。
测评工作内容
级别评测內容遮盖机构的重要信息财产,分成技术性和管理方法两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、数据库、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。根据对之上各种各样安全性威协的剖析和归纳,产生组织的安全性测评报告,依据组织的安全性测评报告和安全性现况,明确提出相对的安全性整顿提议,具体指导下一步的网络信息安全基本建设。
