等级保护工作在大部分人看来都是比较繁琐的,流程多,持续时间长,企业工作人员承压不小,但事实情况真的这样的吗?等级保护一般主要分哪几个阶段,主要从哪些方面进行?完成等保测评,企业将取得怎样的收获?时代新威希望本文能解开你心中的疑惑。
目前信息安全等级保护主要分为五级,五级是最高级别,目前大部分申请单位申请三级比较常见。一般主要包括以下流程:
等级保护测评主要测以下十个层面:
安全技术测评:
安全技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全。
安全管理测评:
安全管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
技术层面具体的对象是:
2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个。
最终经过等级保护测评之后,申请测评单位主要能收获哪些呢?
01.被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。
02.通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。
提示:随着安全检查工作在全国各地展开,主管单位上门检查的一部分内容就会是有没有开展等级保护工作,开展的情况,如果我们能即时出示这些资料,他们就知道我们做了等保,在信息安全上工作上做了不少。
最后,时代新威建议大家,在落实等级保护制度的同时,不仅要思考如何满足相关规定要求,更要为如何提高安全运维工作效率方面多考虑一下。希望各位用户能及早通过等级保护测评,让业务系统安全稳定运行起来!
