安全建设管理
控制点
9.
测评机构应依据国家网络安全等级保护制度,按照有关管理规范和技术规范,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测和评估。等级测评属于符合性评判活动,即依据网络安全等级保护的国家标准或者行业标准,按照特定的方法对等级保护对象的安全防护能力进行科学、公正的综合性评判。
a)
安全要求(关键):应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改。
要求解读:对等级保护对象进行等级测评,不仅是检验系统是否达到相应等级保护要求的主要途径,也是发现系统安全隐患的重要途径。通过选择有资质的测评机构对系统进行等级测评,有助于发现系统中的问题并进行及时整改。目前,三级等级保护对象应当每年至少进行一次等级测评。
测评方法
1.访谈等级测评负责人,了解是否每年定期开展等级测评。
2.核查等级测评报告和整改记录。
期望结果
1.定期开展测评工作且非首次,已经根据以往的等级测评结果进行相应的安全整改。
2.有以往的等级测评报告和安全整改方案。
b)
安全要求(重要):应在发生重大变更或级别发生变化时进行等级测评。
要求解读:当系统发生重大的网络结构调整或大范围的设备更换、应用系统功能有较大变化等时,应重新进行等级测评,并评估系统安全级别是否发生了变化,若系统的安全级别发生了变化,则需按照最新的等级保护要求进行等级测评。
测评方法
1.核查被测评系统是否发生过重大变更或升级。
2.核查与重大变更或升级有关的文件。
期望结果
1.系统发生过重大变更或安全级别发生或变化,并及时开展了等级测评。
2.有针对相应情况的等级测评报告。
c)
安全要求(重要):应确保测评机构的选择符合国家有关规定。
要求解读:目前国家对等级保护测评机构的管理遵从测评机构名录管理要求,即在国家网络安全等级保护工作协调小组办公室推荐测评机构名单内的测评机构均可选择。(具体参见网络安全等级保护网www.djbh.net。)
测评方法
1.访谈等级测评负责人,了解选择的测评机构是否具有测评资质。
2.访问网络安全等级保护网,核查该机构是否符合要求。
期望结果
测评机构具有国家相关等级测评资质。
原文始发于微信公众号(网络安全等保测评):安全建设管理-(九)等级测评
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论