黑龙江等保测评工作中的规范
等级测评工作中,应遵循以下规范和原则。
① 标准性原则:测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。
② 规范性原则:为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。
③ 可控性原则:测评过程和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。
④ 整体性原则:测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和全面性。
⑤ 最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
⑥ 保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密。
⑦ 个性化原则:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。
测评工作内容
等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。技术层面主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、、应用系统等软硬件设备;管理层面包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。通过对以上各种安全威胁的分析和汇总,形成组织的安全测评报告,根据组织的安全测评报告和安全现状,提出相应的安全整改建议,指导下一步的建设。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。