一、等级保护测评项目
测评项目主要包括:
1.业务系统测评人员到业务系统现场进行实地勘察,并依据《信息系统安全等级保护基本要求》进行测试,出具符合国家标准《信息安全技术网络安全等级保护测评要求》(GB/T 24326-2009)的测评报告。
2.信息系统定级:对业务系统进行定级,确定其保护对象和安全等级,出具信息系统定级报告。
3.安全建设整改:依据国家及行业标准,针对测评中发现的问题,制定整改方案并加以实施,确保业务系统的安全性、可用性、有效性。
4.信息系统建设管理:依据相关法律法规和标准规范要求,对信息系统进行建设管理。
5.系统审计:在信息系统内,针对特定业务,采取技术措施和管理措施,对信息系统的操作过程、资源使用、资产变化等进行审计,确保信息系统的安全可控。
6.系统安全管理:依据国家相关法律法规和标准规范要求,对信息系统的安全管理状况进行评估,确定其安全管理现状和安全管理能力。
7.信息系统测评人员依据测评大纲对业务系统进行测评,包括基础信息系统、应用服务等。
8.依据《等级保护测评工作指南》,按照相应规范和流程,对业务系统进行现场测试并出具测评报告。
9.在测试过程中发现的问题,应当按照等级保护测评指南要求进行整改。
10.在信息安全等级保护测评过程中,发现的问题应当及时反馈给被测评单位整改。
11.根据被测评单位整改情况、网络安全等级保护定级报告和《信息安全等级保护技术要求》(GB/T22237-2019)规定的内容和标准要求进行综合分析评估,确定被测评单位的安全保护等级。
12.信息系统定级后,对业务系统和基础设施进行风险评估,根据风险评估结果确定信息安全保障措施。
13.根据网络和信息系统的实际情况,对信息安全等级保护工作提出改进建议。
14.对于涉及国家秘密、个人隐私等重要数据的业务系统,在确定其安全等级后,应当进行数据脱敏处理,确保其在经济和技术条件允许的情况下可以直接对外提供服务。
15.根据等级保护工作需要,可以对信息系统进行扩展性测评。