一、专业机构的资质要求
执行等保测评的专业机构需要具备一定的资质认证,以确保其权威性和专业性,根据《计算机信息系统安全等级保护工程管理要求》,对等级保护建设工作的单位需满足以下条件:
企业集成资质证书:负责承建等保建设项目的单位应具备《计算机信息系统企业集成资质证书》。
测评服务单位资质认证:等保测评机构或单位需获得公安部认可的测评服务单位资质认证。
人员资格认证:测评机构的人员也必须具备公安部认可的等级保护测评服务人员资格认证。
安全产品销售许可:使用的安全产品应具备公安部颁发的信息安全专用产品销售许可证。
根据《网络安全等级保护测评机构管理办法》,等保测评机构应符合国家网络安全等级保护制度规定的基本条件,并经省级以上网络安全等级保护工作领导(协调)小组办公室审核推荐。
二、等保测评工作流程及内容
在等保测评过程中,包括四个基本活动:测评准备活动、方案编制活动、现场测评活动和分析与报告编制活动。
1、测评准备活动
合同与保密协议:被测评单位与测评机构签订《测评服务合同》及《保密协议》。
项目启动会:介绍测评项目实施人员、计划安排等内容。
系统情况调研:通过填写《信息系统基本情况调查表》掌握被测系统的详细情况,为编制测评方案做好准备。
2、方案编制活动
确定测评对象:分析业务流程、数据流程等确定测评对象。
确定测评指标及内容:根据业务需求确定测评的基本指标和特殊指标。
确定测评工具接入点:规划测评工具的接入方式和路径。
确定测评内容与方法:将测评对象与指标映射构成具体的测评实施内容。
编制测评指导书和方案:形成具体测评指导书和最终的测评方案。
3、现场测评活动
访谈与文档审查:通过与相关人员交流获取证据,审查相关文档。
配置检查与工具测试:验证配置正确性,利用工具进行安全测试。
实地察看:观察实际运行环境,评估安全情况。
4、分析与报告编制活动
结果判定与风险分析:根据测评结果找出系统安全问题和风险。
报告编制:形成包含单项、单元、整体测评结果和风险分析的测评报告文本。
相关问题与解答
问题1:等保测评通常由哪些机构执行?
等保测评通常由具备公安部认可的测评服务单位资质认证的机构执行,这些机构需要符合国家网络安全等级保护制度规定的条件,并通过省级以上网络安全等级保护工作领导(协调)小组办公室的审核推荐。
问题2:如何判断一个机构是否具有执行等保测评的资质?
判断一个机构是否具有执行等保测评的资质,主要看其是否具备以下认证和条件:
是否持有《计算机信息系统企业集成资质证书》。
是否获得公安部认可的测评服务单位资质认证。
机构人员是否具备公安部认可的等级保护测评服务人员资格认证。
使用的安全产品是否获得公安部颁发的信息安全专用产品销售许可证。
综上,执行等保测评的专业机构需具备相应的资质认证,并遵循规范的工作流程进行测评,在选择测评机构时,可通过查看其资质认证和过往业绩来判断其是否具备相关能力。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/565080.html
微信扫一扫