等保测评流程包括哪些?等保测评要求
等级保护测评一般是指信息安全等级保护测评工作,即对信息和信息载体按照重要性等级分级别进行保护的一种测评工作。等保测评流程包括哪些?今天就跟着快快网络小小编一起来了解下吧。
等保测评流程包括哪些?
等保测评一般涉及到几方单位,软件开发商、使用方、安全服务企业、测评单位、网监。软件开发商开发的软件再被使用方使用以后,就需要做等保测评,等保测评不仅需要系统,还需要机房、网络设备、安全设备、服务器等,如果使用方本身没有,就需要向安全服务机构采购设备,并且不符合等保要求的,服务机构会协助整改,并且服务机构会帮助用户进行备案、选择测评单位。整改完成后可以由测评单位进行测评,出具测评报告。网监负责定级备案证明发放。
等保测评一般有定级备案、差距分析、整改、等保测评、安全运营几个流程。
1、安全服务机构协助用户对系统进行定级,出具等保备案材料,用户送到网监即可开展备案。
2、安全服务机构帮助用户系统进行差距分析,包括软件本身、安全设备、机房环境、相关制度等,对不满足要求项会协助用户整改。
3、出具整改方案,协助用户购买相关设备等,使其满足等保要求。
4、测评单位对系统、安全设备、网络设备、服务器、数据库、软件、制度等进行测评,如满足等保要求出具等保测评报告,用户可持等保测评报告去网监换取备案证明。
5、三级系统要求每一年复测一次,二级系统要求每三年复测一次,网监部门会定期进行监督检查。
等保测评要求
等级保护安全测评,简称等保测评,是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全技术和安全管理方面的检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
1)为适应网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。
2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须要满足的要求;针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。
4)原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;原各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”,修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
5)云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
6)移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购” 和“移动应用软件开发”等。
7)物联网安全扩展要求针对物联网的特点提出。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理” 和“数据融合处理”等。
8)工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
等保测评流程包括哪些?以上就是详细的解答,等级保护主要从技术要求和管理要求两方面进行综合测评,而根据等级保护测评的三种不同技术类型,其测评的指标要求也有所不同。