网络安全等级保护测评常见问题及解答(Q&A)
2020-06-30 18:27
这篇文章为您提供以下几个网络安全等级保护测评常见问题及解答:什么是网络安全等级保护测评?网络安全等级保护测评的对象是什么?网络安全等级保护测评的目的是什么?网络安全等级保护测评有什么风险?申请网络安全等级保护测评需要什么资料?网络安全等级保护测评多久做一次?
1、Q:什么是网络安全等级保护测评?
A:网络安全等级保护测评是指测评机构依据《中华人民共和国网络安全法》第二十一条要求,按照有关管理规范和技术标准,对未涉及国家秘密的网络进行分等级测试评估的活动。等级保护测评是标准符合性评判活动,即依据网络安全等级保护的国家标准或行业标准,按照特定方法对网络的安全防护能力进行科学公正的综合评判过程。
2、Q:网络安全等级保护测评的对象是什么?
A:依据《信息安全等级保护管理办法》,信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。
3、Q:网络安全等级保护测评的目的是什么?
A:根据《信息安全等级保护管理办法》的规定,系统按照《网络安全等级保护基本要求》等技术标准建设完成后,运营使用单位应当选择符合规定条件的测评机构,定期对系统安全等级保护状况开展等级测评。通过测评,一是可以掌握系统的安全状况,排查系统安全隐患和薄弱环节、明确系统安全建设整改需求;二是衡量系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。
4、Q:网络安全等级保护测评有什么风险?
A:在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看相关信息,可能对系统的运行造成一定的影响,甚至存在误操作的可能。同时,在现场测评时,会使用部分技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。
5、Q:申请网络安全等级保护测评需要什么资料?
A:被评测的系统运维单位应配合提供以下相关系统信息:包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档以及其他相关信息。
而在测评前期,申请测评的单位需要提供的资料有:
①填写并提供《网络安全等级保护测评2.0系统自查表》,包括申请方基本情况、待测系统的资产、系统拓扑图、系统安全管理制度等材料;
②提供网络安全等级保护备案材料,包括网络安全等级保护定级报告及备案证明;
③其他文档,包括主机层和应用层漏洞扫描报告且不能包含中高风险漏洞。
6、Q:网络安全等级保护测评多久做一次?
A:《信息安全等级保护管理办法》明确提出:“定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”