常见问题 > 等级保护测评准备工作有哪些?

等级保护测评准备工作有哪些?

作者:小编 发表时间:2024-03-21 10:54

  等级保护测评准备工作有哪些?网络安全等级保护工作包括定级、备案、安全建设、等级测评、监督检查五个阶段。想要做好等级测评不是一件容易的事情,赶紧跟着小编学习下吧。

  等级保护测评准备工作有哪些?

  一、测评准备活动的工作流程

  测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为编制测评方案打下良好的基础。测评准备活动包括项目启动、信息收集和分析、工具和表单准备3项主要任务。

  二、测评准备活动的主要任务

  1.项目启动

  在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测信息系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。

  任务描述:根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。测评机构要求测评委托单位提供基本资料,例如被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告、信息化建设状况等相关资料,便于对系统有--个较为全面地了解。

等级保护测评准备工作有哪些.png

  2.信息收集和分析

  测:评机构通过查阅被测信息系统已有资料或使用系统调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。

  输入:项目计划书、系统调查表格、被测信息系统总体描述文件、详细描述文件、定级报告、系统验收报告、安全需求分析报告、安全总体方案、自查或上次的等级测评报告等相关资料。

  1.测评机构收集等级测评需要的相关资料,包括测评委托单位的方针文件、规章制度及相关过程管理记录、被测信息系统总体描述文件、详细描述文件、定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。

  2. 测评机构将系统调查表格提交给测评委托单位,督促被测信息系统相关人员准确填写调查表格。

  3测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测信息系统的实际情况。

  分析的内容包括被测信息系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及.重要性、业务安全保护等级、用户范围、用户类型、被测信息系统所处的运行环境及面临的威胁等。这些信息可以重用自查报告或上次等级测评报告中的可信结果。

  4.如果调查表格信息填写存在不准确.不完善或有相互矛盾的地方,测评机构应与填表人进行沟通和确认,必要时安排一次现场调查,与相关人员进行面对面的沟通和确认,确保系统信息调查的准确性和完整性。输出/产品:填好的调查表格,各种与被测信息系统相关的技术资料。

  5 .工具和表单准备

  测评项目组成员在进行现场测评之前,应熟悉与被测信息系统相关的各种组件、调试测评工具.准备各种表单等。输人:填好的调查表格,各种与被测信息系统相关的技术资料。

  测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。测评人员模拟被测信息系统搭建测评环境。准备和打印表单,主要包括风险告知书、文档交接单、 会议记录表单、会议签到表单等。输出/产品:选用的测评工具清单,打印的各类表单。

  三、测评准备活动的输出文档

  测评准备活动的输出文档及其内容。测评准备活动的输出文档及其内容

  6.测评准备活动中双方的职责

  测评机构职责:组建等级测评项目组。指出测评委托单位应提供的基本资料。准备被测信息系统基本情况调查表格,并提交给测评委托单位。向测评委托单位介绍安全测评工作流程和方法。向测评委托单位说明测评工作可能带来的风险和规避方法。了解测评委托单位的信息化建设以及被测信息系统的基本情况。初步分析系统的安全状况。准备测评工具和文档。

  测评委托单位职责:

  向测评机构介绍本单位的信息化建设及发展情况。提供测评机构需要的相关资料。为测评人员的信息收集工作提供支持和协调。准确填写调查表格。根据被测信息系统的具体情况,如业务运行高峰期、网络布置情况等,为测评时间安排提供适宜的建议。制定应急预案。

  看完文章就能清楚知道等级保护测评准备工作有哪些,测评准备活动的主要任务包括:项目启动、信息收集和分析、工具和表单准备。如果需要做等保测评的小伙伴赶紧收藏起来吧。