等级保护政策已上升为法律法规,规定互联网运营人必需执行网络信息安全等级保护规章制度规定,等级保护工作是运营者未来迫不得已的任务了,可是绝大多数人并不是知道等级专业测评的主要步骤和方式,下列就是整理的经验与提议共享:
等级测评工作的主体是第三方测评机构,测评机构应当对等保2.0涉及到的云计算、物联网、工控等新型系统具有充足的工作能力,要求必须加强自身对等保2.0的贯彻理解。等级专业测评工作中是这项对实践经验规定较强的工作中,必须专业测评组织和工作人员在实践活动全过程中连续不断积淀和健全各种专业测评方式,标准专业测评主题活动。测评机构的权威性、公正性和质量保证,是维持测评机构生存的基础,也是保证测评数据、测评结论客观、准确的基础。
等级测评
当场专业测评主题活动是进行等级专业测评工作中的关键主题活动。活动的主要任务是根据评估计划的总体要求严格执行评估指令,并逐步实施所有测评项目,包括单位评估和总体测评,以了解系统的实际保护情况,获取足够的证据,找出系统中存在的安全问题。
等级评价的活动过程分为测评准备活动、程序编制活动、现场评价活动、分析和报告活动4个基本评价活动。根据这4个基础专业测评主题活动全过程能够发觉系统软件中存有的问题和安全隐患,并得出这种问题或安全隐患给系统软件产生的风险或危害,为信息管理系统安全性维护工作能力和安全性管理能力的提高确立技术性基本。
测评一般包括人员采访、文件检查、在线检查、工具测试、实地调查等。工作人员采访通常是对于安全工作层面和技术性层面的全局变量难题;文本文档查验主要是针对安全管理制度、安全管理机构、工作人员安全工作、系统软件基本建设管理方法和系统运维管理方法几大管理工作;上机操作核对关键对于互联网、服务器和运用层面;现场查看关键对于物理学安全性层面,专用工具检测通常对于技术性层面进行,包含漏洞扫描、源码核查、渗透测试等。
等级评测流程
有必要根据“信息系统的安全等级保护评价要求”等技术基准,定期测评信息系统的安全等级状况。二级信息系统至少每两年进行一次评级评估,三级信息系统至少每年进行一次评级评估,四级信息系统至少每六个月进行一次评级评估,五级信息系统根据特殊安全需要进行评级评估。
等级专业测评工作中是这项对社会经验规定较强的工作中,必须专业测评组织和工作人员在实践活动全过程中连续不断积淀和健全各种专业测评方式,标准专业测评主题活动。测评机构的权威性、公正性和质量保证,是维持测评机构生存的基础,也是保证测评数据、测评结论客观、准确的基础。
1502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
