等级保护测评是由第三方机构对企业进行的符合性测评,主要包括技术标准测评和管理层面测评。测评结果分为符合和不符合,不符合需依据整改清单进行整改。测评对象包括信息系统、网站、云服务器等。测评周期为三级系统每年一次,二级系统通常两年一次。测评内容涵盖物理安全、主机安全、网络安全、应用安全、数据安全与备份,以及安全管理制度等方面。经过测评,系统安全防护能力提升,安全风险降低。
等级保护测评服务一般是指由第三方测评机构为企业/事业单位开展的等级保护符合性测评。但是,由于提供等级保护测评服务的公司或者测评机构不同,具体的服务内容和服务流程将有所差别。
一般来说等级保护测评服务包括以下内容:
1、等级保护测评单位依据等保测评技术标准,对测评对象开展等级保护测评,一般来说测评对象是信息系统。但是随着等保2.0的发布,测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。
2、开展等级保护测评后,测评机构需要开具等级保护测评报告,测评的结果有两种:符合和不符合。
3、对于不符合标准的测评对象(一般是指信息系统)需要依据整改清单,进行相关的系统升级,网络信息安全加固,完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的,可以自我整改,或者寻找第三方的网络安全服务商提供技术支持,一般来说,等级保护测评不包括整改部分的服务,除非在事先已经另行约定包括其中的除外。其外,在管理制度整改方面,可以根据整改建议自行修改,但是也可以让测评机构协助整改。
由于涉及的管理制度和以及日后的人员管理,被测评单位能够深入了解和学习,并对主要的管理负责人进行对应的培训。这更有利于真正做的合规的网络安全等级保护。
一般等级保护测评服务流程如下图所示:
什么是等级保护测评?几年测一次?
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护ÿ
最低0.47元/天 解锁文章
1506
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
