等级保护测评,主要内容包括单项测评和整体测评。其中等级保护测评单项测评一共有7大内容,分别是物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理。
每个测评单项针对的测评对象都是不一样的。因此,需要学会辨别,这对于自己做测评以及委托他人做测评,都非常重要。而后面三项的关于安全管理的内容,一般可以一起测评。具体每一项的测评对象和主要内容,请耐心往下看。
单项测评-物理和环境安全
测评对象为支持运行的基础物理设施环境以及相关的硬件设备和介质等。部分物理和环境安全的测评涉及终端所在的办公场地。
测评主要内容包括物理位置选择、物理访问控制、防雷、防火、防水、防潮、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。
单项测评-网络和通信安全
针对由网络设备、安全设备和通信链路等构成广域网络、城域网络和局域网等进行测评。
测评内容主要包括网络架构、通信过程数据完整性、数据保密性、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
测评对象:
网络结构
网络设备
安全设备
虚拟化网络结构
虚拟网络设备
虚拟安全设备
等等
单项测评-设备和计算安全
针对构成系统的网络设备、安全设备、服务器和终端等计算机设备,包括其操作系统、数据库系统、中间件及其相关环境等。
测评内容主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等等。
测评对象:
网络设备、安全设备、虚拟网络设备、虚拟安全设备等。
物理服务器、宿主机、虚拟机、虚拟机监视器、云管理平台、数据库管理系统、终端等。
移动终端、移动终端管理服务器等。
感知节点设备、路由节点设备、网关节点设备·现场控制设备等。
单项测评-应用和数据安全
针对相关应用系统和重要业务数据、鉴别数据、重要个人信息。
测评内容主要包括身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性和数据备份恢复等等。
测评对象:
商业现货业务应用系统
委托第三方定制开发业务应用系统
数据库管理系统
特定的数据安全系统
云应用开发平台、云业务管理系统
等等
等级保护测评主要内容:单项测评与整体测评
单项测评-安全管理
人员·
安全主管,主机、应用、网络等安全管理员
机房管理员、文档管理员等
文档
管理文档(策略、制度、规程)
记录类(会议记录、运维记录)
其它类(机房验收证明等)
上面罗列了一些常见的测评单项的内容,由于测评的系统、定级的等级以及测评管辖地区的不一样,测评的内容会有所区别,因此不能一一罗列。因此,在进行实际测评的时候,寻找当地的专业测评代理机构,顺利通过测评的概率更高。找专业人士办事,好处就是省心省力,少走弯路。但是,如果你一点也不懂,也容易被人忽悠,所以自己了解一些基本的,利于找到靠谱的测评服务商。
证书案例