等級保護測評到底測哪些內容呢?今天不得不等簡單分享下,主要測以下十個層面:技術層面:物理安全、主機安全、網絡安全、應用安全和數據安全與備份;管理層面:安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。技術層面具體的對象是:
1、機房,本測評單位將對信息系統運營使用單位重要信息系統的機房、配電間、消防間等相關物理環境進行測評,分析其中的問題以及不符合要求的地方。
2、業務應用軟件,本測評單位將對信息系統運營使用單位重要信息系統進行測評,從應用軟件的安全機制方向,分析應用系統中存在的安全隱患與問題。
3、主機操作系統,本測評單位將對信息系統運營使用單位重要信息系統相關的服務器的操作系統進行測評,從訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等方向分析其中的安全隱患與問題。
4、數據庫系統,本測評單位將對信息系統運營使用單位重要信息系統所使用的數據庫進行測評,從身份鑒別、訪問控制、安全審計、資源控制方向分析其中的安全隱患與問題。
5、網絡設備,本測評單位將對信息系統運營使用單位重要信息系統的網絡設備進行測評,從訪問控制、安全審計、網絡設備防護等方向分析其中的安全隱患與問題。
具體測評內容控制點及要求項比較多,統計如下:二級系統控制點66個,要求項175;三級系統控制點73個,要求項290個? ? ?最終經過等級保護測評之后,我們獲得的成果主要是:被測系統取得的備案證明資料和等級保護測評報告。補充一項重要的成果:通過等級保護測評之后我們的系統信息安全防護能力得到了提高,安全風險被有效降低。這樣有主管單位來檢查的時候把這些資料給他們看,他們就知道我們做了等保,在信息安全上工作上做了不少。因為很難通過你買了什么安全設備就判斷你安全工作做好了,沒有安全風險了,而等保雖不能證明你一定安全,但至少等保是從不同層面對你的信息系統整體性做了一個安全評估,相對更可信,而且也是書面性的資料。最后補充一句,看上去等保需要做很多內容,好多用戶擔心會給自己增加很多工作內容,其實這個擔心是多余的也是錯誤的,真正做等保的過程中,一般只需要一到兩個對你們單位系統情況,網絡設備比較了解的人配合就可以,大部門工作是測評機構在做;另外安全工作不是因為做了等保才要去做,如果單位不做等保這樣的工作也是應該貫徹在我們日常工作之中的,只是通過做等保,我們把這樣的問題集中暴露出來,更早的把這些問題解決,把安全隱患扼殺在搖籃之中。
