企业可以自己做等保测评吗?等保测评机构应该具备哪些资质?
2020-06-30 18:12
由于不少企业/单位,尤其是比较大型的企业/单位都有自己专门的技术人员,所以可能会认为:他们自己就可以开展等保测评,不需要再找其他机构。但其实这种想法是不对的,国家对于等保测评机构有着严格的资质要求,不是有技术人员就可以开展等保测评。
企业需要寻找有资质的专业等保测评机构来完成测评,等保测评机构至少应该具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》才算是有测评资质,同时部分省份还要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
此外,企业/单位在选择等保测评机构的时候,还可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等来判断该等保测评机构的实力如何,测评的工程师是否通过CIIP-T、CISP、CISSP等技术认证也可以纳入考虑范畴。
最后,GA/T483-2004《计算机信息系统安全等级保护工程管理要求》对等级保护建设工作的各参与方有以下资质要求:
1、对于承建等保建设项目的公司、企业单位,其应该具备《计算机信息系统企业集成资质证书》。因为国家对于等级保护建设的性质定义为计算机信息系统集成类工程,所以要求等级保护承建单位必须具备该项资质认证。
2、对于等级保护测评服务机构或单位,其应该具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证,只有具备该资质认证的企业才能对等级保护建设业主单位进行测评,所出具的测评报告才能具备等级保护测评效力。
3、对于测评机构的测评人员,其应该具备公安部认可的等级保护测评服务人员资格认证,并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。
4、对于安全产品,其必须为国产品牌产品,且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。无该项资质证书的安全产品不符合国家标准,更不能通过等级保护测评。另外,安全产品的操作系统要求符合保护等级操作系统同级要求,安全产品的操作系统也必须使用自主研发的安全操作系统,不能使用普通操作系统或未经加固的操作系统。
对于安全产品制造厂商,虽然没有硬性明确要求,但是考虑到等级保护建设需要安全产品厂商提供高质量的产品、技术和服务才能保障等级保护 测评的顺利通过,所以一般要求安全产品制造厂商为国内主流品牌,能够提供全面的产品线(同一品牌设备),具备安全行业内的相关资质认证。