等级保护测评到底测什么,我们简单来说说

2020-03-03 09:51:34 万方科技整理 115

  等级保护测评,简单来说就是具备公安部门认可资质的等级保护测评机构依据等级保护测评指南对申请了等级保护备案的单位的测评对象开展测评活动,然后给用户和公安部反馈测评结果的,一般以差距测评报告(等级保护测评报告)来展示测评结果。

  等级保护测评主要测试哪些呢?如果不简单说明一下,对于普通企业员工或者说没有接触过等级保护的人来说,这个名称太难理解了。下面我们来看看吧。

  等级保护测评主要测以下十个层面:

  技术层面:

  物理安全、主机安全、网络安全、应用安全和数据安全与备份;

  管理层面:

  安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

  技术层面具体的对象是:

  1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。

  2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。

  3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

  4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

  5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

  具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个

  管理层面,需要重视,不可以应付了事

  管理层面,这里就不详细说了,但是不要小看管理制度哦,对于一个企业来说,要正在落实一项工作,管理制度是非常关键的。因此网络安全管理制度都落实网络安全等级保护相关措施是非常关键的。

  最终经过等级保护测评之后,那对于申请测评单位来说主要能收获哪些呢?

  01.被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。

  02.通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。

  等级保护测评是等级保护备案二级以上的对象(等级保护测评对象有哪些?建议看看这篇文章),需要开展的,这个是《网络安全法》规定的,因此需要履行,但是不是说通过了测评,就不会发生网络安全问题了,切记网络安全需要时刻警惕,做好监控预防。