产品简介
什么是信息系统安全等级保护测评,济南企业如何办理等保
什么是信息系统安全等级保护测评,济南企业如何办理等保
产品价格:¥999
上架日期:2019-12-18 18:16:51
产地:本地
发货地:本地至全国
供应数量:不限
最少起订:1件
浏览量:190
点击询价 QQ洽谈
资料下载:暂无资料下载
其他下载:暂无相关下载
详细说明
    什么是信息系统安全等级保护测评,济南企业如何办理等保 
    一、基本工作 

    1、测评概念 

    信息系统安全等级保护测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。 

    等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。 

    2、测评作用和目的 

    通过进行等级保护测评,能够对信息系统安全防护体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其网络安全防护水平;遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评。测评的作用如下: 

    ① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。 

    ② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。 

    ③ 等级测评结果,为 关等安全监管部门开展监督、检查、指导等工作提供参照。 

    为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。 

    3、测评标准依据 

    《网络安全等级保护管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 

    测评机构应当依据《信息系统安全等级保护管理办法》、《网络安全等级保护测评机构管理办法》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准进行等级测评,按照 统一制订的《网络安全等级保护测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。 

    等级测评依据的两个主要标准分别是《GB/T28448—2012 信息系统安全等级保护测评要求》和《GB/T28449—2012 信息系统安全等级保护测评过程指南》。其中,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档审查、配置检查、工具测试、实地查看。 

    4、测评工作规范 

    等级测评工作中,应遵循以下规范和原则。 

    ① 标准性原则:测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。 

    ② 规范性原则:为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。 

    ③ 可控性原则:测评过程和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。 

    ④ 整体性原则:测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和全面性。 

    ⑤ 最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。 

    ⑥ 保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密。 

    ⑦ 个性化原则:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。 

    5、测评工作内容 

    等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、数据库、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告,根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的网络安全建设。 
在线询盘/留言
    • 免责声明:以上所展示的信息由企业自行提供,内容的真实性、准确性和合法性由发布企业负责,本网对此不承担任何保证责任。我们原则 上建议您选择本网高级会员或VIP会员。
    企业信息
    济南恒标知识产权咨询有限公司
    会员级别:
    ------------ 联系方式 ------------
    联系人:李景行(先生)
    联系电话:-
    联系手机:18854128585
    传真号码:-
    企业邮箱:152184192@qq.com
    网址:18854128585.jdzj.com
    邮编:250000
    企业网站
    进入商铺
    最新供应
    推荐供应
    0571-87774297