下载中心

法规标准

我要投诉

首页?>?等保测评?>?FAQ测评
等保测评

信息系统安全等级保护测评常见问题与解答

发布时间:2018-07-0215:41:00信息来源:

1、问:申请测评的单位测评前期需要提供什么资料??
答:(1)申请测评的单位需填写并提供《信息系统自查表》,包括申请方基本情况、待测系统的资产、系统拓扑图、系统安全管理制度等材料。?
(2)需要提供信息系统等级保护备案材料,包括信息系统定级报告及备案证明。?
(3)其他文档,包括主机层和应用层漏洞扫描报告且不能包含中高风险漏洞。?
具体《信息系统自查表》可在深圳市信息安全测评中心网站 (http://www.stc.org.cn/)下载?
2、问:信息系统安全等级保护测评的对象是什么??
答:依据《信息安全等级保护管理办法》,信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。?
3、问:信息系统安全等级保护测评有什么风险??
答:在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看相关信息,可能对系统的运行造成一定的影响,甚至存在误操作的可能。同时,在现场测评时,会使用部分技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。?
4、问:被测评单位需要提供什么信息??
答:被评测的系统运维单位应配合提供以下相关系统信息:包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等,以及其他相关的信息。?
5、问:信息系统安全等级保护测评的目的??
答:根据《信息安全等级保护管理办法》的规定,信息系统按照《信息安全等级保护基本要求》等技术标准建设完成后,运营使用单位应当选择符合规定条件的测评机构,定期对信息系统安全等级保护状况开展等级测评。通过测评,一是可以掌握信息系统的安全状况,排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。?
6、问:信息系统安全等级保护测评的评估间隔为多久??
答:《信息安全等级保护管理办法》(公通字【2007】43号)明确提出了:“定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”