满足这几个方面的等级评测机构值得信赖
作者:天磊咨询
发表日期:2020-09-16
来源:天磊咨询
下面小编从以下几个维度去判断一家测评机构是否真正有实力,可信赖。
1、评测机构技术人员实力。评价机构的高级评价者、中级评价者、初级评价者人数、评价者通过CIP-A、CIP-T、CISP、CISP、CISP等技术认证,可以判断评价机构是否有足够的人力和技术能力完成项目。通过评价机关提交的资料,可以确认该机关是否参与了信息安全。
2、测评机构的资质。除了最基本的测评机构推荐证书,有没有CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构实力如何。
3.测评机构有没参加过一些重大政治活动的应急支撑或者运维保障。这个比较明显了,一般实力不够的,在这样的重大活动中相关主管部门是不敢把这样的事交给他们做的,如果他们都做过这些事,那么我们的测评交给他们是不是更放心点?
4.评价机关是否参与过官方组织的信息安全竞争或能力认证?当然,要求是在这场比赛中取得好成绩。另外,是否获得过评价机关正式授予的荣誉和褒奖也是一个因素。
5、测评机构的案例。测评机构做过的案例(同类案例、相似案例)相对比较多,那么它积累的经验相对就丰富,技术人员经过的历练就比较多,相对来说技术人员在做项目时更得心应手些,项目质量就更好;
6、评价机关和各级主管机关的合作是否顺畅。评价机关和各级主管机关的日常工作顺利进行,相应的沟通将更加及时。
7、街道。评价机构离我们比较近,服务会比较方便。当然,这不是绝对的因素。一切以服务质量为前提,一些评价机构确实离我们很近,一叫就到,但不能解决问题。
以上是个人对如何选择评价机构的看法,只能由各位朋友参考。
等级保护工作共分为五个阶段。
一个是定等级。信息系统运营使用单位根据等级保护管理方法和等级指导方针,自行决定信息系统的安全级别。
第二个是备案。二级以上信息系统等级单位到所在地的市级以上公安机关办理文件手续。
第三,系统安全建设。信息系统安全级别确定后,操作使用单位将根据管理规范和技术标准确定。
四、等级测评。信息系统建设完成后,运营使用单位将选择符合管理方法要求的检查机构,对信息系统安全级别情况进行等级评估。
五、监督检查。公安机关根据信息安全等级保护管理规范及《网络安全法》相关条款,对审计运营使用单位进行监督,进行等级保护工作,定期对信息系统进行安全检查。
因此,等级保护工作不仅是评价工作,而且是上述全过程。评价的目的是发现问题。更重要的是,发现问题后持续解决,履行网络安全义务,改善信息安全建设工作,确保系统的正常服务和数据安全。最近发生了这么多违反《网络安全法》的事例,我们一定要重视等级保护工作,一定要重视网络安全,依法合规及时开展相关工作。
收藏
取消收藏
400-668-6638