摘要:
等级保护测评到底测哪些内容呢?主要测以下十个层面:
技术层面:物理安全、主机安全、网络安全、应用安全和数据安全与备份;
管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
技术层面具体的对象:
1、机房,测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
2、业务应用软件,测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
4、数据库系统,测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
5、网络设备,测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
管理层面具体要求:
1、安全管理制度,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从安全管理策略,制度发布,制度发布评审以及修订等方面进行访谈,和记录查阅。
2、安全管理机构,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从人员,岗位设置,审核和检查记录等方面进行访谈,和检查记录查阅。
3、系统建设管理,,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从安全方案设计,产品采购要求,自行软件开发,外包软件开发,工程监理,测试验收,系统交付,等级保护,服务供应商选择等方面进行制度文件和记录查阅
4、系统运维管理,,测评单位将对信息系统运营使用单位定级信息系统的网络设备进行测评,从环境管理,资产管理,介质管理,设备维护,漏洞和风险检查,网络和系统安全管理,恶意代码防御管理,账号密码管理,备份恢复管理,应急安全防御管理等方面进行制度文件访谈,重点记录查看。