开展等级保护测评那些企业应该知道的事情
作者:天磊咨询
发表日期:2020-09-16
来源:天磊咨询
自从正式实施网络安全法以来,信息安全级别保护已转换为网络安全级别保护,并且该法律要求该国实施特定级别的保护系统。
现在,越来越多的网络运营商认识到网络安全的重要性和分层保护的重要性,与此同时,越来越多的行业主管部门积极要求行业中的各个部门进行分层保护评估。评级评估是指符合国家信息保护级别保护系统以及相关管理规范和技术标准要求的评估机构的活动,以监视和评估不包含国家机密的信息安全级别保护的状态。
《管理办法》第14条:信息系统建设完成后,运营和用户部门或相应部门应选择符合本措施规定条件的评估单元,并根据《信息系统安全等级保护测评要求》和其他技术标准定期评估信息系统的安全等级。
评估期多长时间?
下图显示了使用2-4个信息系统执行平等保护评估的周期,在该系统中,您需要在日常工作中执行评级保护评估。其中,应根据特殊的安全要求评估五级信息系统。
等级测评的作用?
您可以检查信息系统的安全状态,尤其是与该级别的基本要求之间的差距,并提出安全整改正要求。
分级报告是监管机构指定的报告材料,也是监督检查的基础。
水平评估的现场活动可以与行业要求的第三方评估和风险评估相结合。
分级是接受某些项目单元(例如国家发展和改革委员会)的必要步骤。
评分的主要标准
《信息系统安全等级保护基本要求》
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
等级评估要求:
就内容而言,与《基本要求》有一一对应,并且《基本要求》的要求直接用作《测评要求》的评估指标。
在方法方面,涵盖了三种基本方法:采访,检查和测试,同时充分考虑了实施该方法的可行性。
就强度而言,它与安全级别兼容。
在结果方面,将单点测试和全面评估结合在一起。
分级工作流程
级别评估过程可分为四个活动:评估准备,计划准备,现场评估和分析以及报告准备,并且双方之间的沟通和谈判必须经过整个级别评估过程。
在进行级别评估时,您不仅应撰写评估报告并得出“合格”,基本合格或“不合格”的结论,而且还应使用第三方测试机构来帮助您发现问题。由于我们正在进行安全维修,因此选择可靠的评级机构非常重要。
每个评估机构的整体实力存在一定差距。例如,在公安部主办的2017年中关村信息安全评估联合会评估能力验证中,湖北省有两家评估机构。最终评估结果为0。显然,这样的评级机构的技能水平不达标,我该如何选择评估机构?首先,价格是一个重要因素,如果您可以满足技术要求,则有充分的理由选择竞争性的评级机构。
因此,实际情况是,当价格相同或差异不太大时,您必须仔细考虑如何选择。在做出选择之前,我们需要弄清楚我们最基本的需求是什么。其他关键需求将不可避免地导致其他选择。我不得不等待,认为做好性保护评估和做好网络安全对我们来说是非常重要和基本的要求。
如何进行良好的评级保护评级与评级机构密切相关,因此选择一个能直接影响评级质量的合格评级机构非常重要。同样,评级保护评估也不是标准组成部分,其质量与评估组织直接相关。
收藏
取消收藏
400-668-6638