1)为客户梳理清晰的安全工作思路,明确发展方向;
2)满足用户建立适度安全保障的需求;
3)全面提高信息安全保障水平,通过建设整改达到体系化程度;
4)满足国家信息安全等级保护相关政策与标准要求;
5)确保重要系统的安全,整体上节省安全建设资金;
6)通过分级、分域防护的方法解决不同系统间互连互通的难题;
7)依据客户要求与系统属性结合差距评估更准确覆盖整个等级保护实施生命周期。
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》、GB/T 28449-2018《信息安全技术网络安全等级保护测评过程指南》等标准开展等级测评活动,测评内容主要包括安全技术体系测评和安全管理体系测评。其中,技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面,管理测评包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面。
具体测评流程如下图:
什么样的系统应该定级
根据网络安全等级保护条例要求,在我国境内使用的任何非涉及国家秘密的网络信息系统均应受网络安全等级保护要求管理(个人或家庭自建网络除外)。这就要求各政府部门、企事业单位应根据《网络安全法》和《网络安全等级保护条例》的要求,梳理所属信息资产,划分系统并确定安全保护等级。
如何划定系统的范围
网络安全等级保护中的系统具有三大特征:
1、有明确的安全责任主体,即该系统如果出现安全事件应由谁负有安全责任;
2、应承载相对独立的业务应用,因此系统内部的各子模块应具有一定的关联性,两个不相干的业务应用不能放在同一个系统中;
3、包含相互关联的多个资源,应具有构成信息系统基本要素,单一设备(服务器、终端、网络设备)不能单独定级。
因此,客户应根据自身的业务需求和特点,结合近期信息发展规划,合理划分系统。应注意的是当系统承载的业务应用或运营环境发生变化后应重新定级。因此系统的划分合适最好,过大容易出现频繁定级的可能,过小信息安全方面的投入较大,且管理起来也不方便。
系统的定级是不是越高越好
网络安全等级定级指南中要求,系统定级应从业务信息安全和系统服务安全两方面确定,通过分析受侵害的客体以及对客体的侵害程度来确定系统的安全保护等级。同时安全保护的等级越高所需要付出的安全资源就越多,从资源的合理配备的角度来说,也是合理定级最好。
是不是通过了等级保护测评就证明我的系统安全了
网络等级保护工作贯穿信息系统的全生命周期,等级保护测评工作是一个持续性工作,需要网络系统运营维护者,在系统运营过程中保持足够的安全意识,根据系统状态,不断的增强防护能力,应对可能出现的突发安全事件,防止其对系统造成不必要的伤害。等级保护测评工作只是验证、核查系统在上一报告出版日期至本报告形成之日之间的系统安全状况,提示其存在的安全风险。
一级系统是不是就不用考虑安全方面的问题了
当然不是,国标《网络安全等级保护基本要求》中明确了对等级保护一级系统的安全要求。网络安全等级定义为自主保护级,系统应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。一级系统虽然不需要到网络安全管理部门备案,系统的责任主体根据《网络安全等级保护基本要求》的规定,落实系统安全防护要求。
安全检测、风险评估与等保测评的区别
虽然三者都是对信息安全的检查,在实际应用中还是有着较大的区别。
安全检测一般是指一种专项安全检测,在不同的行业或领域检测的内容不尽相同,在网络安全领域多指设备类的安全测试或针对应用软件的安全测试。
风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。一般步骤为:识别评估对象面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策。一般应用于对一个企业或部门的整体安全评价。
等保测评是一项合规性检查,是对被测系统检查、分析,对比等级保护制度管理要求,判定其符合程度并找出存在差距,提出整改建议。
安全检测的分类分项较多,没有专门的资质要求,而风险评估和等保测评均有相应的资质管理要求。
由于等级保护测评工作涉及对被测系统的物理环境、支撑系统、应用软件到管理制度等全方位的评估,因此评估测评工作的工作量多从被测系统的操作系统数量、设备总数,应用系统的页面等多方面考虑,同时还要分析系统涉及到的扩展要求。
珠峰财险2021等保测评系统扩容项目
产业发展知识产权智能分析-等保测评项目
中国反兴奋剂智慧管理平台系统网络安全等级保护测评项目
《中国大百科全书》第三版(网络版)系统2021年度三级等保测评服务
中国社会科学词条库系统2021年三级等保测评服务
丰台区信用信息共享平台项目等级保护测评服务
首钢集团信息化项目财务共享系统等保测评服务
重庆市朝阳区生态环境局内网业务系统网络安全等级保护测评项目
国家国际发展合作署电子政务外网网络安全等级保护测评项目
首保互联网医院平台系统、重庆北沙滩中医医院互联网医院平台等级保护测评项目
重庆市南水北调信息中心等级保护测评项目
云迹机器人工作台系统等级保护测评项目
国家艺术基金项目《中国戏曲影像库的数字化传播》 “戏曲影像库”系统等级保护测评
河北省“雪亮护城河”一期第二阶段项目
巴南区大数据平台第三方测评和等保测评服务-等保测评服务
国家大剧院台湖舞美数字平台网络安全等级保护测评
《国家人文历史》杂志社信息管理系统等级保护测评服务
重庆城市副中心办公区再生水管智能网智能化管控系统项目等级保护测评
政务服务线上一体化系统等级保护测评服务
重庆市民族团结进步促进中心官网网络安全等级保护测评项目
西城区牛街街道大数据分中心内控项目网络安全等级保护测评项目
全国知识产权侵权假冒线索智能检测系统网络安全等级保护测评项目技术服务
大兴“智慧网军”建设项目等级保护测评服务
市场咨询电话:
座机:(+86)23-66356410
手机:(+86)18534678882 王女士
技术咨询电话:
手机:(+86)18500738326 翁先生
在(),有关于全国各个省、直辖市等级保护测评机构联系方式,客户可联系各测评机构联系人洽谈业务。
推荐编号 |
SC202127130010040 |
测评机构名称 |
重庆凯生霖信息技术股份有限公司 |
地址 |
重庆市巴南区知春路23号409室 |
印章编号 |
2019110193 |
联系人 |
王莉 |
联系电话 |
18534678882/023-66356410 |
传真 |
023-66358902 |