Time: 2020-09-15  e安在线

开展等级保护测评那些事,看完涨姿势

  从网络安全法正式实施以来,信息安全等级保护过渡到网络安全等级保护,法律明确要求国家实施等级保护制度。

  现在,越来越多的网络运营者意识到网络安全的重要性,意识到等级保护工作的重要性,同时越来越多的行业主管部门主动要求行业内各部门主动开展等级保护测评等级测评是指符合规定要求的测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的信息安全等级保护状况进行监测评估的活动。

  《管理办法》第十四条:

  信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

  测评周期是多久?

  日常工作中需要开展等级保护测评的是2-4信息系统,开展等保测评的周期详见下图。其中第五级信息系统应当依据特殊安全需求进行等级测评。

等保测评周期不同级别不一样

  等级测评的作用?

  可以确定信息系统的安全状况,尤其是与相应等级基本要求的差距,提出安全整改需求

  等级测评报告是监管机构指定的备案材料 , 也是监督检查的依据

  等级测评的现场活动可以与行业要求的第三方测评、风险评估等相结合

  等级测评是国家发改委等一些单位项目验收的必要步骤

  等级测评主要参照的标准

  《信息系统安全等级保护基本要求》

  《信息系统安全等级保护测评要求》

  《信息系统安全等级保护测评过程指南》

  等级测评的要求:

  在内容上,与《基本要求》一一对应,直接把《基本要求》的要求项作为《测评要求》的测评指标 。

  在方法上,涵盖访谈、检查和测试三种基本方法,充分考虑方法实施的可行性。

  在强度上,与安全等级相适应 。

  在结果上,单点测试,整体测评相结合。

  等级测评的工作流程

  等级测评过程可以分为4个活动,分别是测评准备、方案编制、现场测评及分析、报告编制,而测评双方的沟通与洽谈应贯穿整个等级测评过程。

等级测评的工作流程

  我们在开展等级测评时,不只是需要出一个测评报告,得到“符合”、“基本符合”或者“不符合”的结论,更多的时候是需要借助第三方检测机构帮助我们发现问题,从而有针对性地进行安全整改。对此,选择一家靠谱的测评机构至关重要。

  不同测评机构的综合实力是有一定的差距的,比如说湖北有两家测评机构在2017年公安部组织的中关村信息安全测评联盟测评能力验证中最终测评结果为零分,显然这样的测评机构技术水平是不达标的,那么如何选择测评机构呢?

  首先,价格肯定是一个重要的因素,如果在能满足技术要求的前提下,我们选择一家价格有竞争力的测评机构理由还是比较充分的。那么,实际情况是价格可能一样或者差距不太大的情况下,我们就得好好考虑下,到底我们该如何选择。选择之前,我们得搞明白我们最根本的需求点是什么,核心需求点不一样,必然导致我们的选择不一样。不得不等认为做好等级保护测评,做好网络安全是我们很重要也最根本的一个需求点。如何能做好等级保护测评,这和测评机构有着非常大的联系,所以选择一家有实力的测评机构很重要,这将直接影响测评质量,每家测评机构参差不齐,必然导致测评的质量不一样,等级保护测评不是一件标准件,它的质量和测评机构有着直接的关系。

  下面小编从以下几个维度去判断一家测评机构是否真正有实力,可信赖。

  1、 测评机构技术人员实力。我们可以了解测评机构的高级测评师、中级测评师、初级测评师的数量以及测评师是否通过CIIP-A、CIIP-T、CISP、CISSP等技术认证来判断一家测评机构是否有足够的人员和技术实力去完成项目;还可以从测评机构提交的一些资料,看看这些机构有没参加一些信息安全类的竞赛,有没获得过一些名次去判断他们的技术实力如何。

  2、测评机构的资质。除了最基本的测评机构推荐证书,有没有CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构实力如何。

  3、测评机构有没参加过一些重大政治活动的应急支撑或者运维保障。这个比较明显了,一般实力不够的,在这样的重大活动中相关主管部门是不敢把这样的事交给他们做的,如果他们都做过这些事,那么我们的测评交给他们是不是更放心点?

  4、测评机构有没有参加过官方组织的信息安全竞赛或者能力认证。当然要求是在这些比赛中获得不错的成绩。另外测评机构有没有获得过一些官方给予的荣誉、表彰,这也是一个因素;

  5、测评机构的案例。测评机构做过的案例(同类案例、相似案例)相对比较多,那么它积累的经验相对就丰富,技术人员经过的历练就比较多,相对来说技术人员在做项目时更得心应手些,项目质量就更好;

  6、测评机构和各级主管单位协作是否畅通。测评机构和各级主管单位日常工作配合顺畅,相应的沟通就会更加及时。

  7、距离。测评机构离我们相对较近,服务起来会比较方便些,当然这不是绝对因素,一切以服务质量为前提,有些测评机构确实离我们很近,随叫随到,但是到了解决不了问题也不行。

  以上就是如何选择一家测评机构的一些个人看法,仅供各位朋友参考。最后说一句:不忘初心,方得始终。我们不能忘记我们做等保的初衷,这样可能在我们不知道如何选择时更方便我们去做选择。

  (本文部分内容来自不得不等公众号)

  声明:本文来自e安在线,版权归作者所有。文章内容仅代表作者独立观点,不代表本站(网络安全等级保护资讯网)立场,转载目的在于传递更多信息。如有侵权,请联系删除。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。