等级保护测评对象合规通过方案
来源:本站
作者:中联信科
日期:2021-06-29 16:07:47
浏览:
661
等级保护测评应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评的测评单元又分为安全技术测评和安全管理测评两大类:
1.安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评。
技术层面具体的对象是:
①机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
②业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
③主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
④数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
⑤网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
2.安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
就测评指标项而言,安全保护等级为二级的信息系统,测评指标项近200个;安全保护等级为三级的信息系统,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。
一句话,等级保护测评标准不仅严格,测评对象还很多。要想合规通过,企业需要考虑方方面面。助力企业合规通过等级保护测评,中联科技推出一站式等级保护项目解决方案,方案内容包括:
|
1 |
在测评机构开展测评之前,先行对企业的信息系统进行一轮差距测评,并根据测评结果进行整改。这样,等测评机构测评之时,企业信息系统风险少,不仅得分高,还容易一次过! |
|
2 |
根据企业需求和测评机构的整改清单,安排专业等保技术人员对企业信息系统设计等保整改方案并实施。 |
|
3 |
协助测评机构开展等级测评,并为企业提前全程免费等保咨询服务。 |
|
4 |
等保整改服务涵盖:安全产品采购;产品集成实施;主机安全基线配置;应用及数据库安全配置;主机及应用打补丁;安全审计策略配置;应用代码整改;制度编写等八个方面的内容。 |
