等级保护测评经验分享干货

等级保护包含哪些方面
根据GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GBT 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》、GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准，将等级保护分为 ‘技术’ 和 ‘管理’ 两大模块，其中技术部分包含：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面；管理部分包含：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面，如下图所示：

等级保护包含哪些方面

本篇文章具体介绍在信息安全等级保护三级要求中–安全管理机构测评过程中的经验分享，安全管理机构有5个测评指标，分别是岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

我将以测评方的角度来看待安全问题

安全管理机构具体测评
1、岗位设置
a：应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。

测评经验： 此条测评项主要是检查客户有没有设立安全管理部门来具体负责信息安全工作，一般来说，政府单位会设立信息中心负责，并且会设置信息中心主任（一般就默认为安全主管），而在测评过程中发现，企业在这方面做的工作就不够，很多企业就只是有个兼职的部门来做这个事，而且没有相应的安全主管或安全负责人。我们在对这项进行测评的时候，要询问并记录安全管理责任部门、责任人、安全主管的具体名称，并要查看具体的岗位职责文件（有可能在任命文件中会提到）。

b：应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

测评经验 ：这条就比较容易测评了，就访谈客户看看有没有设立安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职位，并且应提供专门的任职职责文件。一般来说，既然标准都着重提出安全、系统、网络这三个管理员，所以我们也要着重看。值得注意的是，一是安全管理员必须是专职的，不能由任何其他管理员兼任；二是系统管理员和数据库管理员不能为同一自然人，这两点要特别注意。但在很多真实环境中，客户方往往都没有专门设立相应的管理员，特别是安全管理员，并且根本不会出什么文件来明确各管理员的职责，本人遇到过的一个单位，整个安全部门就