等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
二级及以上信息系统必做等保测评
等保2.0时代以来,等级保护对象范围扩大,互联网上的系统基本上都要落实等级保护工作。等级保护又分为定级、备案、安全建设(加固整改)、测评、监督检查几个步骤。如果企业确定自己的信息系统保护等级在二级及以上,且成功备案,那么就必须做等保测评。
企业怎么做等保测评?
二级及以上信息系统必做等保测评。等保测评怎么做呢?对需要申办等级保护的企业来说,企业需要根据国家网络安全等级保护工作协调小组办公室推荐测评机构名单选择具备资质的测评机构来进行测评,测评机构至少得有《信息安全等级保护测评机构推荐证书》。
测评工作主要是由测评机构来负责,分以下几个阶段进行:测评准备、方案编制、现场测评、分析及报告编制、整改、验收测评。现场测评之后,测评机构会出具整改清单,就是企业信息系统中不符合等级保护要求的项目清单。企业根据整改清单,将这些不符合等级保护要求的项目变为符合,比如没有防火墙设备就新增防火墙设备,就可以让测评机构进行验收测评。测评通过之后,测评机构会提供《信息安全等级保护测评报告》,企业将这个报告提交到公安机关进行备份即可。
最后再给大家说一下测评机构提供的测评服务的具体内容:
1.等级保护测评单位依据等保测评技术标准,对测评对象开展等级保护测评,一般来说测评对象是信息系统。但是随着等保2.0的发布,测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。
2.开展等级保护测评后,测评机构需要开具等级保护测评报告,测评的结果有两种:符合和不符合。
3.对于不符合标准的测评对象(一般是指信息系统)需要依据整改清单,进行相关的系统升级,网络信息安全加固,完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的,可以自我整改,或者寻找第三方的网络安全服务商提供技术支持,一般来说,等级保护测评不包括整改部分的服务,除非在事先已经另行约定包括其中的除外。其外,在管理制度整改方面,可以根据整改建议自行修改,但是也可以让测评机构协助整改。
由于涉及的管理制度和以及日后的人员管理,被测评单位能够深入了解和学习,并对主要的管理负责人进行对应的培训。这更有利于真正做的合规的网络安全等级保护。
