2022年怎么進行等級保護測評 等保測評步驟有哪些

2022年怎么進行等級保護測評？

1、選擇測評機構(gòu)

選擇測評機構(gòu)時應盡量選取企業(yè)所在地的測評機構(gòu)，綜合考慮其公司資質(zhì)與技術(shù)能力，如測評公司具有的資質(zhì)、各等級測評師人員數(shù)量、在市場中的口碑、被測評企業(yè)所屬行業(yè)的測評案例等，想要進行測評的企業(yè)可以直接選擇來辦理該業(yè)務，我們擁有15年的資質(zhì)代辦服務經(jīng)驗，可以安排專人一對一為您服務。

2、系統(tǒng)合理定級

系統(tǒng)定級是等級保護測評的第一步，無論是在建系統(tǒng)或已建系統(tǒng)，合理定級是關(guān)鍵，應參照“定級過低不允許、定級過高不可取”的原則來定級。如同為等級保護第三級可細分為S2A3、S3A3、S3A2三種類型，與之相對應的等級保護測評控制項就相差不少，將直接影響系統(tǒng)設(shè)計、建設(shè)、運維的方方面面。

定級完成后需由安全專家與業(yè)務專家共同對定級報告中涉及的系統(tǒng)業(yè)務描述、業(yè)務網(wǎng)絡(luò)拓撲、業(yè)務受影響的風險分析進行專家評審并形成書面專家評審意見。最后定級報告與專家評審意見需上傳到公安網(wǎng)警的等級保護備案系統(tǒng)中。

3、準備工作充分

“磨刀不誤砍柴功”，做好大量的準備工作是快速完成等保測評的先決條件。從業(yè)務系統(tǒng)的全生命周期角度來看，需要具備項目立項、需求說明、實施方案、驗收標準、人員組織、管理制度等過程環(huán)節(jié)資料。

特別是網(wǎng)絡(luò)安全方面，需要有網(wǎng)絡(luò)安全的設(shè)計方案、建設(shè)實施方案、安全策略及安全檢測規(guī)范、安全運營管理制度及安全建設(shè)運營過程文檔（如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等）。

針對規(guī)模大或重要性要求高的業(yè)務系統(tǒng)其建設(shè)設(shè)計方案、安全保障方案需要聘請外部專家進行專家評審并形成書面專家評審意見。

4、及時跟進流程

以廣東為例，企業(yè)在公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)填報前應授權(quán)一位負責人，并由其跟進后續(xù)備案資料收集與文檔掃描、系統(tǒng)填寫與資料上傳，同時關(guān)注審核反饋信息及時提交補充資料和修訂資料。及時關(guān)注審核結(jié)果、獲取備案證明及線下提交測評報告。

此過程中，遇到問題應及時反饋給上級領(lǐng)導，并協(xié)調(diào)資源推進等級保護備案流程。

5、關(guān)鍵路徑并進

加快項目進度一般可采取加班與并行趕工的方式，但前提是需要一名優(yōu)秀的項目經(jīng)理來分解項目實施步驟，識別并規(guī)劃關(guān)鍵實施路徑，把控管理項目實施過程風險。等級保護測評過程主要可并行的環(huán)節(jié)有商務洽談與技術(shù)實施、系統(tǒng)建設(shè)與安全檢測、系統(tǒng)測評與整改復測。