免责声明:本公众号尊重知识产权,如有侵权请联系我们删除。
01
等保测评主要做什么
1、测评准备阶段
(1)确定测评对象与范围
明确被测系统的边界、功能模块、网络架构及承载的业务。
确认系统的安全保护等级(如二级、三级)。
(2)签订测评合同
选择具备资质的测评机构(需公安部认可的等保测评资质)。
签订合同并明确测评目标、时间、费用等。
(3)资料收集与沟通
收集系统资料:网络拓扑图、资产清单、安全策略、管理制度、以往测评报告等。
与客户沟通系统现状、特殊需求及安全建设情况。
2、测评方案编制
(1)制定测评计划
确定测评人员分工、工具使用(如漏洞扫描器、渗透测试工具等)。
评估测评可能对系统造成的影响,制定风险规避措施。
(2)编制测评方案
依据《网络安全等级保护基本要求》(GB/T 22239)设计测评项。
明确技术测评(物理、网络、主机、应用、数据安全)和管理测评(制度、人员、运维等)的具体内容。
3、现场测评实施
(1)技术安全测评
物理环境安全:检查机房防火、防水、门禁、监控、电力等设施。
网络安全:测试防火墙、入侵检测、网络隔离、访问控制等策略的有效性。
主机安全:核查操作系统补丁、账户权限、日志审计等配置。
应用安全:验证身份认证、会话管理、输入校验、漏洞防护(如SQL注入、XSS)等。
数据安全:检查数据加密、备份恢复、隐私保护措施。
(2)管理安全测评
安全管理制度:审查安全策略、操作规程、应急预案等文档的完整性和可操作性。
人员管理:核查岗位职责、安全培训、保密协议等落实情况。
运维管理:检查日志留存、漏洞修复、变更管理、外部服务供应商监管等流程。
4、测评结果分析与报告
(1)整理测评数据
汇总技术和管理测评的符合项与不符合项。
对发现的安全漏洞或制度缺陷进行风险分析(如高危、中危、低危)。
(2)编制测评报告
形成《等级测评报告》,说明系统符合性结论(基本符合、部分符合、不符合)。
列出整改建议,如加固配置、修补漏洞、完善管理制度等。
5、整改与复测(如需要)
(1)协助客户整改
针对不符合项提出具体整改方案(如调整策略、修复漏洞、补充文档)。
(2)复测验证
对整改后的系统进行复测,确认问题已解决。
更新测评报告并提交最终版本。
02
等保测评结论
1、等级测评结论判定依据
等级测评结论主要由被测系统单项符合性进行判定,符合性判定根据被测系统各层面安全保护情况与相应等级安全保护要求的符合程度进行确定。具体判定依据如下表所示。
等级测评结论 |
判定依据 |
符合 |
被测系统符合率高于90%,且无重大风险隐患。 |
基本符合 |
被测系统符合率高于60%,低于90%;或者符合率为[90%, 100%]且存在重大风险隐患。 |
不符合 |
被测系统符合率低于60%。 |
依据GB/T22239—2019《信息安全技术网络安全等级保护基本要求》和GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》的第[一/二/三/四]级要求,经对[被测对象名称]的安全保护状况进行综合分析评价后,等级测评结论如下:
【填写说明:下面分别给出等级测评结论为符合、基本符合、不符合的参考示例,供测评机构参考。】
1、符合:
[被测对象名称]本次等级测评的符合率为[90%, 100%],且不存在重大风险隐患,等级测评结论判定为符合。
2、基本符合:
[被测对象名称]本次等级测评的符合率为[60%, 90%),或者符合率为[90%, 100%]且存在重大风险隐患,等级测评结论判定为基本符合。
3、不符合:
[被测对象名称]本次等级测评的符合率为[0,60%),等级测评结论判定为不符合。
亲爱的朋友,若你觉得文章不错,请点击关注。你的关注是笔者创作的最大动力,感谢有你!
原文始发于微信公众号(菜根网络安全杂谈):等保系列(三):等保测评的那些事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论