对于二级及以上的信息系统来说,其网络运营单位不仅要备案,还要按照要求开展等级测评工作。公安机关会根据测评机构在测评结束后给出的测评报告,考量网络运营单位的等级保护工作是否合规、是否达到标准。等保2.0时代,运营单位等级测评得分要在70分以上,并且信息系统没有高风险项才算通过,而等级测评得分正是等级测评报告的其中一项内容。青莲网络在此提供信息安全等级测评报告的详细解读,需要做等级测评的企业快看好啦!
总的来说,一个完整的测评报告,包含的内容有:报告编号、信息系统等级测评基本信息表、声明、等级测评结论、总体评价、主要安全问题、问题处置建议。
其中,等级测评报告编号为四组数据,如1100092700400001-19-4105-01。第一组为信息系统备案表编号,第二组为年份,第三组为测评机构代码,第四组为本年度信息系统测评次数。信息系统等级测评基本信息表主要是关于信息系统、被测单位、测评单位的描述。声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可增加特殊声明。
我们重点来说一下等级测评结论、总体评价、主要安全问题和问题处置建议。
等级测评结论一般如下表所示:
测评结论和综合得分 | ||||
被测对象名称 | ××志愿系统 | 安全保护等级 | 第二级(S2A2) | |
等级保护 对象形态 |
√传统IT系统 √云计算 □采用移动互联技术的系统 □物联网 □工业控制系统 □大数据 □其他系统 | |||
被测对象描述 | ××系统在线服务应用,能进一步提供给用户制定升学规划,方便用户更加注地学习专业技能,不用浪费时间在筛选学校及专业上。 | |||
测评工作描述 | 深圳市××安全检测技术有限公司成立于200×年6月,是一家专门从事计算机网络安全服务的专业安全公司。目前公司拥有由院士、教授级高工、博士、硕士、极富信息安全实践经验和司法鉴定经验的专家、具有顶尖资质的信息安全精英组成的技术、管理团队350余人。本次测评是按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第二级信息系统安全要求进行安全测评。本测评项目的开展经历了测评准备阶段、方案编制阶段、现场实施阶段、分析与报告编制阶段四个阶段,历时三个月左右,投入测评人员8人,使用了多种测评设备/工具。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,涉及测评分类70类。 | |||
等级测评结论 | 良 | 综合得分 | 84.2 | |
总体评价是测评机构对于本次测评的总体性描述。青莲网络为几百家企业客户提供过等级保护一站式服务,下面是其中一位企业级客户的测评报告中的总体评价,青莲网络以此为例进行说明:
本次对被测系统实施的等级测评工作包含两个方面的内容:单元测评和整体测评。单元测评主要测评《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)所要求的基本安全控制在被测单位中的实施和配置情况。整体测评主要测评分析信息系统的整体安全性。汇总第3和第4章的内容,对被测系统实施单元测评和整体测评分析后,可以得到如下测评结果:
被测系统的物理布局、网络结构和业务逻辑等在整体结构上合理、安全。在物理上,被测系统的重要设备均部署在具有严格访问控制、防火、防水防潮、防破坏等能力的独立机房内,并严格限制了外部人员的物理访问。在网络上,被测系统网络边界采取防火墙隔离实施边界防护和访问控制,阿里云控制台未定期进行以及形成漏洞修复方案。操作系统、应用系统、数据库等各种业务应用平台都采取了基本的身份鉴别、访问控制、审计等安全措施。在入侵防范和恶意代码防护上,采用防火墙等安全措施。在数据备份方面,重要数据每日备份。总体来看,安全技术方面具有基本安全保障能力。
在安全管理方面,被测系统所属单位已经建立了基本的信息安全管理体系,建立了相应的安全组织,设置了相应的安全部门和岗位,制订了安全管理制度,并在日常管理中依照制度要求执行。信息系统日常运行维护,如外来人员访问管理、系统安全管理和网络安全管理等方面,拥有较完善的流程和规范。总体来看,安全管理方面具有基本安全保障能力。
综合上述评价结果,可以看到信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。因此,本次等级测评结论为:良。
主要安全问题主要描述被测信息系统存在的主要安全问题及其可能导致的后果,问题处置建议则是针对系统存在的主要安全问题提出处置建议。如:
通过本次等级测评,发现被测系统仍存在一些安全问题,主要包括:
安全通信网络:1)未采用可信技术进行可信验证。
整改建议:1)建议采用可信技术进行可信验证。
安全区域边界:1)阿里云审计记录采用阿里云OSS存储并定期备份,目前审计记录未保留6个月。2)未采用可信技术进行可信验证。
整改建议:1)持续整改直至审计记录保存6个月的时间。2)建议采用可信技术进行可信验证。
在详细整理国家相关等保规范的基础上,青莲网络整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,为客户提供了等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助企业客户高效、合规落实等级保护,获得等级保护认证。
我们的一站式等保服务优势:
①依托自身多年的行业、产品和服务经验,打通业界优质资源,能极大的缩短客户过等保的总时间,让客户快速获证。最快的情况下,企业一个月内就可成功拿证;
②保姆式服务:专业的整改解决方案+优质的云安全产品+贴心的服务能力+权威的测评认证;
③青莲与等保规则的制定者签订战略合作协议,强强联合,在定级、备案、建设整改、第三方测评、监督检查及咨询业务等方面,均可为客户提供优质服务。