等保测评

等保测评业务

检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。

测评服务

测评准备

  1. 项目启动:组建测评项目组,获取被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

  2. 信息收集和分析:查阅被测系统已有资料或使用调查表格方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。

  3. 工具和表单准备:熟悉被测系统相关的各种组件、调试测评工具、准备各种表单。

方案编制

  1. 测评对象确定:分析整个被测系统及其涉及的业务应用系统,确定测评对象。

  2. 测评指标确定:根据已经了解到的被测系统定级结果,确定出测评指标。

  3. 测试工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径,确定测试工具的接入点。

  4. 测评内容确定:确定现场测评的具体实施内容。

  5. 测评指导书开发:详细描述现场测评的工具、方法和操作步骤,保证测评活动可以重现。

  6. 测评方案编制:罗列测评活动标准,估算现场测评工作量,编制工作安排,编制具体测评计划,形成测评方案文稿,评审提交测评方案。

现场测评

  1. 现场测评准备:签署测评授权书,召开测评现场首次会,测评双方确认现场测评需要的各种资源,更新测评结果记录表单和测评程序。

  2. 现场测评和结果记录:访谈,文档审查,配置检查,工具测试,实地察看,结果确认和资料归还。

  3. 结果确认和资料归还:汇总现场测评的测评记录,测评双方确认测评发现的问题,归还测评过程中借阅的所有文档资料。

分析与报告编制

  1. 单项测评结果判定:客观、准确地分析测评证据,形成初步单项测评结果。

  2. 单元测评结果判定:汇总单项测评结果,统计不同测评对象的单项测评结果,判定单元测评结果。

  3. 整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,给出整体测评的具体结果,并对系统结构进行整体安全测评。

  4. 风险分析:分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。

  5. 等级测评结论形成:找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。

  6. 测评报告编制:描述每个被测系统的等级测评情况,针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议。