等级保护测评2.0测哪些内容

日期:2019-12-18 人气:3449

等级保护测评2.0测哪些内容呢?下面SafeWos简单分享下,主要测八个层面:

等级保护测评2.0

技术层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;

管理层面:安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理。

技术层面具体的对象是:

1、机房。

对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。

2、业务应用软件。

对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。

3、主机操作系统。

对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4、数据库系统。

对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5、网络设备。

对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

另外,具体测评内容控制点及要求项比较多,统计如下:

二级系统控制点66个,要求项145;三级系统控制点73个,要求项231个。

最终经过等级保护测评之后,我们获得的成果主要是:

1、被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案;

2、通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。

最近不少安全检查在全国各地开始了,主管单位上门检查一部分内容就会是有没有开展等级保护工作,开展的情况,我们把这些资料给他们看,他们就知道我们做了等保,在信息安全上工作上做了不少。因为很难通过你买了什么安全设备就判断你安全工作做好了,没有安全风险了,而等保虽不能证明你一定安全,但至少等保是从不同层面对你的信息系统整体性做了一个安全评估,相对更可信,而且也是书面性的资料。

最后补充一句,看上去等保需要做很多内容,好多用户担心会给自己增加很多工作内容,其实这个担心是多余的也是错误的,真正做等保的过程中,一般只需要一到两个对你们单位系统情况,网络设备比较了解的人配合就可以,大部门工作是测评机构在做

另外网络安全整改工作不是因为做了等保才要去做,如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的,只是通过做等保,我们把这样的问题集中暴露出来,更早的把这些问题解决,把安全隐患扼杀在摇篮之中。


    您的观点
    10