信息安全等级保护测评不找本地的测评机构做可以吗?
2020-12-08 15:21
等级保护测评是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。等级保护测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
和等保定级、备案、整改等不同,等级测评有资质要求,只有具备测评资质的机构(至少得具备《信息安全等级保护测评机构推荐证书》),才能给信息系统进行测评工作。考虑到距离因素,一般企业都是寻找本地的测评机构来进行测评,但有些市是没有测评机构的,那么这个时候,企业就只能或者非本地的测评机构来进行测评。也就是说,信息安全等级保护测评不找本地的测评机构来做是可以的。
以宁夏为例,根据《宁夏信息安全等级保护测评活动管理规范》,企业委托来做等级测评的测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。
至于来宁的异地等级保护测评机构,需要在每年12月1日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章),通过审核的名单会予以公布,这些异地的测评机构也可以给本省企业进行等级测评。
最后,全国有资质的测评机构名单的名称、联系方式、资质有效时间等都有公布,大家可以登录中国网络安全等级保护网进行查看。