1.等级保护测评单位根据等保测评技术标准,对测评对象开展等级保护测评,一般来说测评对象是信息系统。但是随着等保2.0的发布,测评范围变得更广。因此测评的对象也有可能是网站、云服务器、APP等等。
2.开展等级保护测评后,测评机构需要开具等级保护测评报告,测评的结果有两种:符合和不符合。
3.对于不符合标准的测评对象(一般是指信息系统)需要依据整改清单,进行相关的系统升级,完善网络安全相关的制度和人员管理方法等。技术方面不符合要求的,可以自我整改,或是寻找第三方服务商提供技术支持。
等级保护测评机构应该具备什么资质
根据GA/T483-2004《计算机信息系统安全等级保护工程管理要求》这个文件,对等级保护建设工作的各参与方的资格性要求有:
一,对于承建等保建设项目的公司、企业单位有要求,要求其具备《计算机信息系统企业集成资质证书》,因国家对于等级保护建设的性质定义为计算机信息系统集成类工程,所以要求等级保护承建单位必须具备该项资质认证。
二,对于等级保护测评服务机构或单位有要求,要求其具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证,只有具备该资质认证的企业才能对等级保护建设业主单位进行测评,所出具的测评报告才能具备等级保护测评效力。
三,对于测评机构的测评人员有要求,要求其具备公安部认可的等级保护测评服务人员资格认证,并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。
四,对于安全产品资质有要求,必须为国产品牌产品,且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。无该项资质证书的安全产品不符合国家标准,更不能通过等级保护测评。另外,安全产品的操 作系统要求符合保护等级操作系统同级要求,安全产品的操作系统也必须使用自主研发的安全操作系统,不能使用普通操作系统或未经加固的操作 系统。
等级保护测评机构哪家比较省钱?
如果要做等保测评的话,不建议和等保测评机构直签协议哦,首先等保测评机构之间也是有区别的,比如广州的几家测评公司,可能不同的测评机构给的价格是不一样的,但是机构给到的价格基本上都是高于市场价的,所以如果要做等保测评的话不建议和等保测评机构直签,可以先找等保咨询的公司咨询一下先。目前很火的“等保一站式服务”会更适合第一次做等保测评(等级保护)的公司。因为一站式等保的话,会有项目人员在持续的跟进进度,如果是和机构直签的,需要直接和机构对接,但是一站式等保的话,就会有第三方的公司在旁跟进协商,并且可以促进整改的进度,一站式等保测评服务企业是和等保测评机构签订了合作协议的费用会更低。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。
