c
    ase analysis
    案例分析
    联系我们
    contact us
    联系人:宋经理

    座  机:028-86677012

    邮  箱:songp@cdjxcm.com
    地  址:成都市武侯区长华路19号万科汇智中心30楼
    测评
    您当前位置:首页 > 案例分析 > 案例解读 > 测评 >
    等级?;げ馄拦ぷ髂谌菁耙庖?/div>
    一、  什么是等级?;げ馄??几年测一次?
          信息安全等级?;な侵付怨抑匾畔?、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全?;?,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。几个关键词:1、信息系统,不是整个单位,而是按照不同系统来进行防护的;2、分等级进行防护和管理,理清重要系统和非重要系统,对重要的系统进行******管理,不是所有系统都是一样的防护。那么等级?;げ馄?**是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评,出具相应的信息系统测评报告。你的测评必须是有资质的机构,否则你找的安全厂家或者集成商或者其他人做的安全测评,不是等级?;げ馄?,至多只能叫做安全测试,你的测评结果公安部门是不认可的,说白点:***是你的钱白花了。
          测评周期的要求:信息安全等级?;す芾戆旆ǎüㄗ諿2007]43号)中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”这***是我们说的三级系统每年必须要做一次测评,那么二级系统呢,我们翻阅了大量资料后没有找到关于二级系统明确的时间要求,从等保的定义和等保工作流程上,可以知道:定级备案是一步和二步,测评、整改和监督检查是后续动作,所以说只有你定级了,***得去做等保测评,二级系统原则上是可以自测评的,但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的,所以还是得委托测评机构进行测评,那么二级系统定级备案后是一定需要去做等保测评工作的,后续经过大量用户实践和主管单位的指导,我们正常是二级系统两年左右做一次测评,为什么是两年呢?一、系统相对三级没那么重要,所以时间上相对长点;二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。不得不等建议大家,系统定级备案后,测评及后续工作正??蛊鹄?,你不做测评***是信息安全责任没有履行到位,对应着网络安全法都有相关处罚的。
    二、  等级?;げ馄赖降撞馐裁??成果是什么?
          等级?;げ馄赖降撞饽男┠谌菽??今天不得不等简单分享下,主要测以下十个层面:技术层面:物理安全、主机安全、网络安全、应用安全和数据安全与备份;管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。技术层面具体的对象是:
    1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
    2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
    3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息?;?、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
    4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
    5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
          具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个经过等级?;げ馄乐?,我们获得的成果主要是:被测系统取得的备案证明资料、等级?;げ馄辣ǜ婧桶踩ㄉ枵姆桨?。补充一项重要的成果:通过等级?;げ馄乐笪颐堑南低承畔踩阑つ芰Φ玫搅颂岣?,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。不少安全检查在全国各地开始了,主管单位上门检查一部分内容***会是有没有开展等级?;すぷ?,开展的情况,我们把这些资料给他们看,他们***知道我们做了等保,在信息安全上工作上做了不少。因为很难通过你买了什么安全设备***判断你安全工作做好了,没有安全风险了,而等保虽不能证明你一定安全,但至少等保是从不同层面对你的信息系统整体性做了一个安全评估,相对更可信,而且也是书面性的资料。补充一句,看上去等保需要做很多内容,好多用户担心会给自己增加很多工作内容,其实这个担心是多余的也是错误的,真正做等保的过程中,一般只需要一到两个对你们单位系统情况,网络设备比较了解的人配合***可以,大部门工作是测评机构在做;另外安全工作不是因为做了等保才要去做,如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的,只是通过做等保,我们把这样的问题集中暴露出来,更早的把这些问题解决,把安全隐患扼杀在摇篮之中。
     
     

    测评中心 供稿

    ?
    www.久久,www.久久精品,www.久久精品视频33,www.人人干