等级保护测评谁来做?
等级保护测评分为自测评和委托测评机构开展,但由于测评需要具备专业资质,企业一般都是委托专业测评机构来进行测评。测评机构是指具备规范的基本条件,经能力评估和审核,由公安部第三研究所认证发放《网络安全等级测评与检测评估机构服务认证证书》,从事等级保护测评工作的机构。每个省份都有几家或者几十家具备资质的测评机构,需要申办等级保护测评的企业可以结合实际情况进行选择,名单可在中国网络安全等级保护网进行查询。
等级保护测评以什么为标准依据?
对于测评机构来说,测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评过程指南》等国家标准进行等级测评,并在测评结束后按照公安机关给出的测评报告模板出具测评报告。对于企业来说,其信息系统的运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。等保2.0时代,三级及以上的信息系统,每年至少开展一次等级保护测评。
等级保护测评工作内容有哪些?
等级保护测评主要分为技术测评和管理测评。技术层面的测评主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、应用系统等软硬件设备;管理层面的测评包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。总的而言,等级保护测评的测评步骤为:测评准备→方案编制→现场测评→分析及报告编制。测评机构在测评完毕后,还需给出相应的安全整改建议,让企业查缺补漏,对信息系统不符合规范的地方进行整改。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们
