對(duì)于二級(jí)及以上的信息系統(tǒng)來(lái)說(shuō),其網(wǎng)絡(luò)運(yùn)營(yíng)單位不僅要備案����,還要按照要求開(kāi)展等級(jí)測(cè)評(píng)工作����。公安機(jī)關(guān)會(huì)根據(jù)測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)結(jié)束后給出的測(cè)評(píng)報(bào)告,考量網(wǎng)絡(luò)運(yùn)營(yíng)單位的等級(jí)保護(hù)工作是否合規(guī)��、是否達(dá)到標(biāo)準(zhǔn)�。等保2.0時(shí)代,運(yùn)營(yíng)單位等級(jí)測(cè)評(píng)得分要在70分以上�,并且信息系統(tǒng)沒(méi)有高風(fēng)險(xiǎn)項(xiàng)才算通過(guò),而等級(jí)測(cè)評(píng)得分正是等級(jí)測(cè)評(píng)報(bào)告的其中一項(xiàng)內(nèi)容���。在此提供信息安全等級(jí)測(cè)評(píng)報(bào)告的詳細(xì)解讀��,需要做等級(jí)測(cè)評(píng)的企業(yè)快看好啦�!
總的來(lái)說(shuō)�,一個(gè)完整的測(cè)評(píng)報(bào)告,包含的內(nèi)容有:報(bào)告編號(hào)����、信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表、聲明����、等級(jí)測(cè)評(píng)結(jié)論、總體評(píng)價(jià)�����、主要安全問(wèn)題����、問(wèn)題處置建議。
其中����,等級(jí)測(cè)評(píng)報(bào)告編號(hào)為四組數(shù)據(jù),如1100092700400001-19-4105-01。第一組為信息系統(tǒng)備案表編號(hào)����,第二組為年份,第三組為測(cè)評(píng)機(jī)構(gòu)代碼��,第四組為本年度信息系統(tǒng)測(cè)評(píng)次數(shù)��。信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表主要是關(guān)于信息系統(tǒng)�����、被測(cè)單位��、測(cè)評(píng)單位的描述��。聲明是測(cè)評(píng)機(jī)構(gòu)對(duì)測(cè)評(píng)報(bào)告的有效性前提��、測(cè)評(píng)結(jié)論的適用范圍以及使用方式等有關(guān)事項(xiàng)的陳述�����。針對(duì)特殊情況下的測(cè)評(píng)工作�,測(cè)評(píng)機(jī)構(gòu)可增加特殊聲明。
我們重點(diǎn)來(lái)說(shuō)一下等級(jí)測(cè)評(píng)結(jié)論��、總體評(píng)價(jià)、主要安全問(wèn)題和問(wèn)題處置建議����。
等級(jí)測(cè)評(píng)結(jié)論一般如下表所示:
| 測(cè)評(píng)結(jié)論和綜合得分 |
| 被測(cè)對(duì)象名稱 |
××志愿系統(tǒng) | 安全保護(hù)等級(jí) |
第二級(jí)(S2A2) |
等級(jí)保護(hù)
對(duì)象形態(tài) |
√傳統(tǒng)IT系統(tǒng) √云計(jì)算 □采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng) □物聯(lián)網(wǎng) □工業(yè)控制系統(tǒng) □大數(shù)據(jù) □其他系統(tǒng) |
| 被測(cè)對(duì)象描述 |
××系統(tǒng)在線服務(wù)應(yīng)用���,能進(jìn)一步提供給用戶制定升學(xué)規(guī)劃�����,方便用戶更加注地學(xué)習(xí)專業(yè)技能�����,不用浪費(fèi)時(shí)間在篩選學(xué)校及專業(yè)上���。 |
| 測(cè)評(píng)工作描述 |
深圳市××安全檢測(cè)技術(shù)有限公司成立于200×年6月,是一家專門從事計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)的專業(yè)安全公司����。目前公司擁有由院士、教授級(jí)高工���、博士����、碩士、極富信息安全實(shí)踐經(jīng)驗(yàn)和司法鑒定經(jīng)驗(yàn)的專家�����、具有頂尖資質(zhì)的信息安全精英組成的技術(shù)��、管理團(tuán)隊(duì)350余人�。本次測(cè)評(píng)是按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)第二級(jí)信息系統(tǒng)安全要求進(jìn)行安全測(cè)評(píng)。本測(cè)評(píng)項(xiàng)目的開(kāi)展經(jīng)歷了測(cè)評(píng)準(zhǔn)備階段�、方案編制階段、現(xiàn)場(chǎng)實(shí)施階段��、分析與報(bào)告編制階段四個(gè)階段��,歷時(shí)三個(gè)月左右���,投入測(cè)評(píng)人員8人���,使用了多種測(cè)評(píng)設(shè)備/工具。測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求的5個(gè)層面和安全管理要求的5個(gè)層面��,涉及測(cè)評(píng)分類70類���。 |
| 等級(jí)測(cè)評(píng)結(jié)論 |
良 | 綜合得分 |
84.2 |
|
|
|
|
|
|
總體評(píng)價(jià)是測(cè)評(píng)機(jī)構(gòu)對(duì)于本次測(cè)評(píng)的總體性描述���。為幾百家企業(yè)客戶提供過(guò)等級(jí)保護(hù)一站式服務(wù)����,下面是其中一位企業(yè)級(jí)客戶的測(cè)評(píng)報(bào)告中的總體評(píng)價(jià)��,以此為例進(jìn)行說(shuō)明:
本次對(duì)被測(cè)系統(tǒng)實(shí)施的等級(jí)測(cè)評(píng)工作包含兩個(gè)方面的內(nèi)容:?jiǎn)卧獪y(cè)評(píng)和整體測(cè)評(píng)���。單元測(cè)評(píng)主要測(cè)評(píng)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)所要求的基本安全控制在被測(cè)單位中的實(shí)施和配置情況。整體測(cè)評(píng)主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性�。匯總第3和第4章的內(nèi)容,對(duì)被測(cè)系統(tǒng)實(shí)施單元測(cè)評(píng)和整體測(cè)評(píng)分析后�����,可以得到如下測(cè)評(píng)結(jié)果:
被測(cè)系統(tǒng)的物理布局�、網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)邏輯等在整體結(jié)構(gòu)上合理、安全�����。在物理上���,被測(cè)系統(tǒng)的重要設(shè)備均部署在具有嚴(yán)格訪問(wèn)控制��、防火���、防水防潮����、防破壞等能力的獨(dú)立機(jī)房?jī)?nèi)�����,并嚴(yán)格限制了外部人員的物理訪問(wèn)�����。在網(wǎng)絡(luò)上����,被測(cè)系統(tǒng)網(wǎng)絡(luò)邊界采取防火墻隔離實(shí)施邊界防護(hù)和訪問(wèn)控制,阿里云控制臺(tái)未定期進(jìn)行以及形成漏洞修復(fù)方案����。操作系統(tǒng)、應(yīng)用系統(tǒng)��、數(shù)據(jù)庫(kù)等各種業(yè)務(wù)應(yīng)用平臺(tái)都采取了基本的身份鑒別、訪問(wèn)控制�、審計(jì)等安全措施。在入侵防范和惡意代碼防護(hù)上��,采用防火墻等安全措施����。在數(shù)據(jù)備份方面,重要數(shù)據(jù)每日備份�����?��?傮w來(lái)看,安全技術(shù)方面具有基本安全保障能力��。
在安全管理方面�����,被測(cè)系統(tǒng)所屬單位已經(jīng)建立了基本的信息安全管理體系��,建立了相應(yīng)的安全組織�����,設(shè)置了相應(yīng)的安全部門和崗位,制訂了安全管理制度�����,并在日常管理中依照制度要求執(zhí)行��。信息系統(tǒng)日常運(yùn)行維護(hù)���,如外來(lái)人員訪問(wèn)管理����、系統(tǒng)安全管理和網(wǎng)絡(luò)安全管理等方面�,擁有較完善的流程和規(guī)范?����?傮w來(lái)看����,安全管理方面具有基本安全保障能力。
綜合上述評(píng)價(jià)結(jié)果,可以看到信息系統(tǒng)中存在安全問(wèn)題���,但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)�。因此�����,本次等級(jí)測(cè)評(píng)結(jié)論為:良��。
主要安全問(wèn)題主要描述被測(cè)信息系統(tǒng)存在的主要安全問(wèn)題及其可能導(dǎo)致的后果�����,問(wèn)題處置建議則是針對(duì)系統(tǒng)存在的主要安全問(wèn)題提出處置建議����。如:
通過(guò)本次等級(jí)測(cè)評(píng)���,發(fā)現(xiàn)被測(cè)系統(tǒng)仍存在一些安全問(wèn)題��,主要包括:
安全通信網(wǎng)絡(luò):1)未采用可信技術(shù)進(jìn)行可信驗(yàn)證���。
整改建議:1)建議采用可信技術(shù)進(jìn)行可信驗(yàn)證。
安全區(qū)域邊界:1)阿里云審計(jì)記錄采用阿里云OSS存儲(chǔ)并定期備份,目前審計(jì)記錄未保留6個(gè)月�。2)未采用可信技術(shù)進(jìn)行可信驗(yàn)證。
整改建議:1)持續(xù)整改直至審計(jì)記錄保存6個(gè)月的時(shí)間�����。2)建議采用可信技術(shù)進(jìn)行可信驗(yàn)證�。
在詳細(xì)整理國(guó)家相關(guān)等保規(guī)范的基礎(chǔ)上,整合云安全產(chǎn)品的技術(shù)優(yōu)勢(shì)��,聯(lián)合優(yōu)質(zhì)等保咨詢�����、等保測(cè)評(píng)合作資源�,為客戶提供了等保項(xiàng)目的一站式服務(wù),全面覆蓋等保定級(jí)�、備案、建設(shè)整改以及測(cè)評(píng)階段��,能幫助企業(yè)客戶高效��、合規(guī)落實(shí)等級(jí)保護(hù)��,獲得等級(jí)保護(hù)認(rèn)證����。
我們的一站式等保服務(wù)優(yōu)勢(shì):
①依托自身多年的行業(yè)��、產(chǎn)品和服務(wù)經(jīng)驗(yàn)����,打通業(yè)界優(yōu)質(zhì)資源����,能極大的縮短客戶過(guò)等保的總時(shí)間,讓客戶快速獲證��。最快的情況下�,企業(yè)一個(gè)月內(nèi)就可成功拿證;
②保姆式服務(wù):專業(yè)的整改解決方案+優(yōu)質(zhì)的云安全產(chǎn)品+貼心的服務(wù)能力+權(quán)威的測(cè)評(píng)認(rèn)證�;
③與等保規(guī)則的制定者簽訂戰(zhàn)略合作協(xié)議,強(qiáng)強(qiáng)聯(lián)合����,在定級(jí)、備案�、建設(shè)整改����、第三方測(cè)評(píng)、監(jiān)督檢查及咨詢業(yè)務(wù)等方面,均可為客戶提供優(yōu)質(zhì)服務(wù)���。
等保測(cè)評(píng)咨詢
