严格意义上来说,二级等保测评不是在哪里做的问题,是怎么做的问题。就等级保护测评这一项工作而言,其至少涉及三方:第一方是申办等级保护的单位,就是企业自己;第二方式测评机构,负责给企业的信息系统进行测评;第三方是整改机构,负责整改企业信息系统中存在的安全问题,使得企业信息系统的安全防护符合等级保护要求,能够通过等级测评。所以二级等保测评怎么做,得把这三方分开说。 1.企业做等级保护测评需要: 根据公安机关推荐的测评机构名单选择具备资质的,且离自己公司距离近的测评机构来进行测评,并和测评机构谈好合作事宜,包括测评费用多少,测评注意事项等;选择合适的等保咨询整改机构,对企业等级保护工作进行指导,同时安排技术人员给企业的信息系统进行整改,靠谱的等保咨询整改比如等保测评网。等保测评网是等保标准制定的参与者之一,自2018年开始就为企业提供定制化的等保服务,最快情况下,能帮助企业一个月内落实等级保护,成功拿证。 2.等级保护测评机构需要: 严格按照等级保护标准对各个级别信息系统的要求来对企业的信息系统进行测评,测评流程是:测评准备、方案编制、现场测评、分析及报告编制。测评内容如下所示: 测评技术层面具体的对象是: ①机房:本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。 ②业务应用软件:本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。 ③主机操作系统:本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。 ④数据库系统:本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。 ⑤网络设备:本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。 测评机构结束测评之后,需要按照公安机关提供的模板,出具《测评报告》。需要注意的是,一般测评都有两次,第一次是差距测评,第二次是验收测评(整改之后进行),无论是第一次还是第二次,测评机构都需要出具《测评报告》。测评机构对测评结果负责。 3.等级保护整改机构需要: 结合等级保护标准,以测评机构提供的整改清单或者测评发现的问题为依据,对这些安全问题一一进行整改,满足等级保护对企业信息系统的安全要求。具体来说,等保整改机构提供的整改服务包括: ①信息系统加固落地实施 依据差距分析,提供专业的系统安全加固建议意见,并采用技术手段,从网络、主机、应用、数据库层面进行技术加固实施落地。 ②主机基线核查与配置 对信息系统的主机基线进行配置及加固,消除弱口令与权限风险,防止潜在风险攻击与数据泄露。 ③主机漏洞扫描服务 用专业扫描工具以及人工验证等手段,检测网络协议、网络服务、网路设备、应用系统等各种信息资产所存在的安全隐患,风险隐患和漏洞,形成《漏洞扫描报告》,给出漏洞修复意见并落地修复高危风险项。 ④网络架构升级加固 对网络架构进行安全加固升级,完善网络配置(含云上安全产品的测试与配置),以及适应等级保护网络安全的要求并修正运维环境下的不符合项目。 ⑤管理制度与文档体系的完善 按照等级保护管理部分标准,从5个方面帮助企业补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。