精品免费视频在线观看|亚洲 欧美 日韩 水滴|a级精品—区二区|青青草原亚洲之五月婷

安全資訊

《信息安全等級保護(hù)測評報(bào)告》包含內(nèi)容

【時(shí)間】2020-12-07

【編輯】Admin

【瀏覽量】

【等級保護(hù)QQ交流群】881590869

信息安全等級保護(hù)測評報(bào)告
對于企業(yè)來說,落實(shí)等級保護(hù),重點(diǎn)關(guān)注的往往有三個(gè)文件:一是《信息系統(tǒng)等級保護(hù)備案證明》;二是《信息安全等級保護(hù)測評報(bào)告》;三是整改報(bào)告/清單。由于《信息安全等級保護(hù)測評報(bào)告》直接表明企業(yè)信息系統(tǒng)是否符合等保要求,而且內(nèi)容也較多,今天我們就來跟大家分享一下《信息安全等級保護(hù)測評報(bào)告》的具體內(nèi)容。
 
總的來說,一個(gè)完整的測評報(bào)告,包含的內(nèi)容有:報(bào)告編號、信息系統(tǒng)等級測評基本信息表、聲明、等級測評結(jié)論、總體評價(jià)、主要安全問題、問題處置建議。
 
其中,等級測評報(bào)告編號為四組數(shù)據(jù),如1100092700400001-19-4105-01。第一組為信息系統(tǒng)備案表編號,第二組為年份,第三組為測評機(jī)構(gòu)代碼,第四組為本年度信息系統(tǒng)測評次數(shù)。信息系統(tǒng)等級測評基本信息表主要是關(guān)于信息系統(tǒng)、被測單位、測評單位的描述。聲明是測評機(jī)構(gòu)對測評報(bào)告的有效性前提、測評結(jié)論的適用范圍以及使用方式等有關(guān)事項(xiàng)的陳述。針對特殊情況下的測評工作,測評機(jī)構(gòu)可增加特殊聲明。
 
我們重點(diǎn)來說一下等級測評結(jié)論、總體評價(jià)、主要安全問題和問題處置建議。
 
等級測評結(jié)論一般如下表所示:
測評結(jié)論和綜合得分
被測對象名稱 ××系統(tǒng) 安全保護(hù)等級 第二級(S2A2
等級保護(hù)
對象形態(tài) 		√傳統(tǒng)IT系統(tǒng)       √云計(jì)算       □采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)       □物聯(lián)網(wǎng)       □工業(yè)控制系統(tǒng)       □大數(shù)據(jù)       □其他系統(tǒng)      
被測對象描述 ××系統(tǒng)在線服務(wù)應(yīng)用,能進(jìn)一步提供給用戶制定升學(xué)規(guī)劃,方便用戶更加注地學(xué)習(xí)專業(yè)技能,不用浪費(fèi)時(shí)間在篩選學(xué)校及專業(yè)上。
測評工作描述 安徽靈狐網(wǎng)絡(luò)科技有限公司成立于200×年6月,是一家專門從事計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)的專業(yè)安全公司。目前公司擁有由極富信息安全實(shí)踐經(jīng)驗(yàn)和鑒定經(jīng)驗(yàn)的專家、具有頂尖資質(zhì)的信息安全精英組成的技術(shù)、管理團(tuán)隊(duì)xx余人。本次測評是按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)第二級信息系統(tǒng)安全要求進(jìn)行安全測評。本測評項(xiàng)目的開展經(jīng)歷了測評準(zhǔn)備階段、方案編制階段、現(xiàn)場實(shí)施階段、分析與報(bào)告編制階段四個(gè)階段,歷時(shí)三個(gè)月左右,投入測評人員8人,使用了多種測評設(shè)備/工具。測評內(nèi)容涵蓋等級保護(hù)安全技術(shù)要求的5個(gè)層面和安全管理要求的5個(gè)層面,涉及測評分類70類。
等級測評結(jié)論 綜合得分 84.2
         
 
 
總體評價(jià)是測評機(jī)構(gòu)對于本次測評的總體性描述。安徽靈狐科技為幾百家企業(yè)客戶提供過等級保護(hù)一站式服務(wù),下面是其中一位企業(yè)級客戶的測評報(bào)告中的總體評價(jià),安徽靈狐科技以此為例進(jìn)行說明:
 
本次對被測系統(tǒng)實(shí)施的等級測評工作包含兩個(gè)方面的內(nèi)容:單元測評和整體測評。單元測評主要測評《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)所要求的基本安全控制在被測單位中的實(shí)施和配置情況。整體測評主要測評分析信息系統(tǒng)的整體安全性。匯總第3和第4章的內(nèi)容,對被測系統(tǒng)實(shí)施單元測評和整體測評分析后,可以得到如下測評結(jié)果:
 
被測系統(tǒng)的物理布局、網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)邏輯等在整體結(jié)構(gòu)上合理、安全。在物理上,被測系統(tǒng)的重要設(shè)備均部署在具有嚴(yán)格訪問控制、防火、防水防潮、防破壞等能力的獨(dú)立機(jī)房內(nèi),并嚴(yán)格限制了外部人員的物理訪問。在網(wǎng)絡(luò)上,被測系統(tǒng)網(wǎng)絡(luò)邊界采取防火墻隔離實(shí)施邊界防護(hù)和訪問控制,阿里云控制臺未定期進(jìn)行以及形成漏洞修復(fù)方案。操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等各種業(yè)務(wù)應(yīng)用平臺都采取了基本的身份鑒別、訪問控制、審計(jì)等安全措施。在入侵防范和惡意代碼防護(hù)上,采用防火墻等安全措施。在數(shù)據(jù)備份方面,重要數(shù)據(jù)每日備份??傮w來看,安全技術(shù)方面具有基本安全保障能力。
 
在安全管理方面,被測系統(tǒng)所屬單位已經(jīng)建立了基本的信息安全管理體系,建立了相應(yīng)的安全組織,設(shè)置了相應(yīng)的安全部門和崗位,制訂了安全管理制度,并在日常管理中依照制度要求執(zhí)行。信息系統(tǒng)日常運(yùn)行維護(hù),如外來人員訪問管理、系統(tǒng)安全管理和網(wǎng)絡(luò)安全管理等方面,擁有較完善的流程和規(guī)范??傮w來看,安全管理方面具有基本安全保障能力。
 
綜合上述評價(jià)結(jié)果,可以看到信息系統(tǒng)中存在安全問題,但不會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險(xiǎn)。因此,本次等級測評結(jié)論為:良。
 
主要安全問題主要描述被測信息系統(tǒng)存在的主要安全問題及其可能導(dǎo)致的后果,問題處置建議則是針對系統(tǒng)存在的主要安全問題提出處置建議。如:
 
通過本次等級測評,發(fā)現(xiàn)被測系統(tǒng)仍存在一些安全問題,主要包括:
安全通信網(wǎng)絡(luò):1)未采用可信技術(shù)進(jìn)行可信驗(yàn)證。
整改建議:1)建議采用可信技術(shù)進(jìn)行可信驗(yàn)證。
 
安全區(qū)域邊界:1)阿里云審計(jì)記錄采用阿里云OSS存儲并定期備份,目前審計(jì)記錄未保留6個(gè)月。2)未采用可信技術(shù)進(jìn)行可信驗(yàn)證。
整改建議:1)持續(xù)整改直至審計(jì)記錄保存6個(gè)月的時(shí)間。2)建議采用可信技術(shù)進(jìn)行可信驗(yàn)證。
 
在詳細(xì)整理國家相關(guān)等保規(guī)范的基礎(chǔ)上,安徽靈狐科技整合云安全產(chǎn)品的技術(shù)優(yōu)勢,聯(lián)合優(yōu)質(zhì)等保咨詢、等保測評合作資源,為客戶提供了等保項(xiàng)目的一站式服務(wù),全面覆蓋等保定級、備案、建設(shè)整改以及測評階段,能幫助企業(yè)客戶高效、合規(guī)落實(shí)等級保護(hù),獲得等級保護(hù)認(rèn)證。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號