茶猫云
等级保护测评到底测的是哪些内容呢?大家对于信息安全等级保护测评的了解相信也是很少的,所以大家一开始知道要过等保2.0的时候也是非常手足无措的,那么等级保护测评到底测的是哪些内容呢?今天专注于等保测评的了就带大家来了解一下,本站认为信息安全等级保护测评主要测以下十个层面:
技术层面:物理安全、主机安全、网络安全、应用安全和数据安全与备份;
管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
等保2.0测评技术层面具体的对象:
1、机房,测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
2、业务应用软件,测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
4、数据库系统,测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
5、网络设备,测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
等保2.0测评管理层面具体要求:
1、安全管理制度,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从安全管理策略,制度发布,制度发布评审以及修订等方面进行访谈,和记录查阅。
2、安全管理机构,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从人员,岗位设置,审核和检查记录等方面进行访谈,和检查记录查阅。
3、系统建设管理,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从安全方案设计,产品采购要求,自行软件开发,外包软件开发,工程监理,测试验收,系统交付,等级保护,服务供应商选择等方面进行制度文件和记录查阅。
4、系统运维管理,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从环境管理,资产管理,介质管理,设备维护,漏洞和风险检查,网络和系统安全管理,恶意代码防御管理,账号密码管理,备份恢复管理,应急安全防御管理等方面进行制度文件访谈,重点记录查看。
以上就是本站为大家介绍的等级保护测评到底测的是哪些内容的内容,希望看完对大家能够有所帮助,本站专注网络安全等级保护测评服务,目前已为多家企业提供了二级等保、三级等保测评服务,是江苏省内专业的网络安全等级保护测评服务提供商,专业提供二级等保、三级等保测评服务等业务,并且还有专业的安全设备为您提供一站式的便捷服务,让您的等保测评之路畅行无阻。如有需要,可以点击在线客服联系本站,本站将竭诚为您服务。
三级等保测评:www.vzidc.com
(NLP内容来源于IDC同行,若侵权,请联系我们删除)
