互聯網信息安全等級保護測評標準
等級保護測評是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。等級保護測評是標準符合性評判活動,即依據信息安全等級保護的國家標準或行業標準,按照特定方法對信息系統的安全防護能力進行科學公正的綜合評判過程。
而網絡安全等級保護測評標準,能夠指導企業和測評機構按要求開展網絡安全等級保護測評工作,能幫助企業降低信息系統風險,提高信息系統的安全防護能力。
就等級保護測評標準/依據而言,包括:
1.《網絡安全法》
2.《信息系統安全等級保護測評要求》
3.《信息系統安全等級保護測評過程指南》
4.《信息系統安全等級保護實施指南》
5.《信息系統等級保護安全設計技術要求》
6.《信息系統安全等級保護定級指南》
7.《信息系統安全等級保護基本要求》
8.《計算機信息系統安全保護等級劃分準則》
其中,企業可重點關注 《信息系統安全等級保護測評要求》,因為該標準與等級保護基本要求保持一致,主要明確了測評對象、測評判定規則等內容。該標準為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網絡安全等級保護監督檢查時也是參考使用這份標準。
企業在備案通過之后,就需要按照要求進行測評工作。安徽靈狐科技為各企業提供信息安全等級保護測評標準解讀:
一、測評流程
總的來說,測評機構進行的等級測評分為三個階段:方案編制階段、現場測評階段、分析與報告編制階段。而對企業來說,其進行測評的流程應該是這樣的:
①企業先到公安機關成功備案,并且申請做等級保護測評;
②企業找到合適的測評機構,對企業信息系統進行測評;
③企業根據測評機構在測評結束后給出的整改清單,把信息系統中不符合等保要求的項目變為符合,提高信息系統安全防護能力;
④整改結束后,測評機構重新對企業進行一次測評,如果測評通過,企業把測評報告和整改報告提交公安機關,就可以等待拿證;
⑤公安機關每年對企業等級保護落實情況進行監督檢查,企業根據公安機關檢查結果,查缺補漏。
二、測評內容
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
安全控制測評的測評單元又分為安全技術測評和安全管理測評兩大類。
①安全技術測評:包括物理安全、網絡安全、主機系統?安全、應用安全和數據安全等五個層面上的安全控制測評。
②安全管理測評:包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評。
三、測評通過標準
等保2.0時代,測評結論改為“優、良、中、差”。和等保1.0相比,等保2.0時代的要求更為嚴格,等級保護及格線已經由原先的60分提高到了70分。
其中測評結論“差”的判別依據是被測對象中存在安全問題,而且會導致被測對象面臨高等級安全風險,或被測對象綜合得分低于70分。簡單點來說,“差”是指系統中存在高危風險或得分低于70分,相當于等保1.0時代中的不符合。
而網絡安全等級保護測評標準,能夠指導企業和測評機構按要求開展網絡安全等級保護測評工作,能幫助企業降低信息系統風險,提高信息系統的安全防護能力。
就等級保護測評標準/依據而言,包括:
1.《網絡安全法》
2.《信息系統安全等級保護測評要求》
3.《信息系統安全等級保護測評過程指南》
4.《信息系統安全等級保護實施指南》
5.《信息系統等級保護安全設計技術要求》
6.《信息系統安全等級保護定級指南》
7.《信息系統安全等級保護基本要求》
8.《計算機信息系統安全保護等級劃分準則》
其中,企業可重點關注 《信息系統安全等級保護測評要求》,因為該標準與等級保護基本要求保持一致,主要明確了測評對象、測評判定規則等內容。該標準為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網絡安全等級保護監督檢查時也是參考使用這份標準。
企業在備案通過之后,就需要按照要求進行測評工作。安徽靈狐科技為各企業提供信息安全等級保護測評標準解讀:
一、測評流程
總的來說,測評機構進行的等級測評分為三個階段:方案編制階段、現場測評階段、分析與報告編制階段。而對企業來說,其進行測評的流程應該是這樣的:
①企業先到公安機關成功備案,并且申請做等級保護測評;
②企業找到合適的測評機構,對企業信息系統進行測評;
③企業根據測評機構在測評結束后給出的整改清單,把信息系統中不符合等保要求的項目變為符合,提高信息系統安全防護能力;
④整改結束后,測評機構重新對企業進行一次測評,如果測評通過,企業把測評報告和整改報告提交公安機關,就可以等待拿證;
⑤公安機關每年對企業等級保護落實情況進行監督檢查,企業根據公安機關檢查結果,查缺補漏。
二、測評內容
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
安全控制測評的測評單元又分為安全技術測評和安全管理測評兩大類。
①安全技術測評:包括物理安全、網絡安全、主機系統?安全、應用安全和數據安全等五個層面上的安全控制測評。
②安全管理測評:包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評。
三、測評通過標準
等保2.0時代,測評結論改為“優、良、中、差”。和等保1.0相比,等保2.0時代的要求更為嚴格,等級保護及格線已經由原先的60分提高到了70分。
其中測評結論“差”的判別依據是被測對象中存在安全問題,而且會導致被測對象面臨高等級安全風險,或被測對象綜合得分低于70分。簡單點來說,“差”是指系統中存在高危風險或得分低于70分,相當于等保1.0時代中的不符合。
| 測評結論 | 判別依據 |
| 優 | 被測對象中存在安全問題,但不會導致被測對象面臨中、高等級安全風險(即無高風險中風險項),且系統綜合得分90分以上(含90分)。 |
| 良 | 被測對象中存在安全問題,但不會導致被測對象面臨高等級安全風險(即無高風險項),且系統綜合得分80分以上(含80分)。 |
| 中 | 被測對象中存在安全問題,但不會導致被測對象面臨高等級安全風險(即無高風險項),且系統綜合得分70分以上(含70分)。 |
| 差 | 被測對象中存在安全問題,而且會導致被測對象面臨高等級安全風險,或被測對象綜合得分低于70分。 |
