等级测评是什么意思?工作流程包含哪些?
等级测评是什么意思?
等级测评是指进行信息安全等级保护测评,简单来说就是对信息以及信息的载体按照重要性对其进行保护的评测。具体来说是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
等级测评工作流程包含哪些?
1、系统定级,对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审;
2、等保备案,持定级报告和备案表到所在地公安网监进行系统备案;
3、建设整改,参照定级要求和标准,对信息系统整改加固,建设安全管理体系;
4、等级测评,测评机构对信息系统等级测评,形成测评报告;
5、合规监督检查,向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。
知识拓展:等级测评基本测评活动说明
1、测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
2、方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
3、现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4、分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和等保政策有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
【相关链接】:哪里可以查到网络安全等级测评与检测评估机构目录?
评论