等保评测的主要内容
.jpg)
.jpg)
.jpg)
.jpg)
信息安全等级保护评估内容涵盖组织的重要信息资产,分为两个主要级别:技术和管理。 技术水平主要是衡量和分析网络和主机上存在的安全技术风险,包括物理环境,网络设备,主机系统和应用系统等硬件和软件设备; 管理水平包括人员,组织结构,管理体系,系统运行保证措施以及其他运行管理标准,分析业务运行和管理中的安全缺陷。 通过对上述安全威胁的分析和总结,形成了组织的安全评估报告。 根据组织的安全评估报告和安全状况,提出相应的安全整改建议,以指导下一步的建设。
等级评估的两个主要标准是“ GB / T28448-2012评估要求”和“ GB / T28449-2012评估过程指南”。 其中,“评估要求”描述了“基本要求”中每个要求项的具体评估方法,步骤和判断依据,用于评估信息系统的安全保护措施是否满足“基本要求”。 《评估过程指南》规定了等级评估工作的基本过程,过程,任务和工作成果,规范了评估机构的等级评估工作,并提供了如何在等级中使用“测量要求”的指导性建议。 评估过程。 。 两者共同指导水平评估工作。 等级评估的评估对象是已确定等级的信息系统。 特定级别评估项目所面对的评估系统是一种信息系统,由一个或多个不同安全保护级别的评估对象组成。 等级评估实施中常用的评估方法是访谈,文档审查,配置检查,工具测试和现场检查。
