安全资讯

《信息安全等级保护测评报告》包含内容

信息安全<a href='https://www.ahlinghu.com/' title='等级保护测评' target='_blank'>等级保护</a>测评报告
对于企业来说,落实等级保护,重点关注的往往有三个文件:一是《信息系统等级保护备案证明》;二是《信息安全等级保护测评报告》;三是整改报告/清单。由于《信息安全等级保护测评报告》直接表明企业信息系统是否符合等保要求,而且内容也较多,今天我们就来跟大家分享一下《信息安全等级保护测评报告》的具体内容。
 
总的来说,一个完整的测评报告,包含的内容有:报告编号、信息系统等级测评基本信息表、声明、等级测评结论、总体评价、主要安全问题、问题处置建议
 
其中,等级测评报告编号为四组数据,如1100092700400001-19-4105-01。第一组为信息系统备案表编号,第二组为年份,第三组为测评机构代码,第四组为本年度信息系统测评次数。信息系统等级测评基本信息表主要是关于信息系统、被测单位、测评单位的描述。声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可增加特殊声明。
 
我们重点来说一下等级测评结论、总体评价、主要安全问题和问题处置建议。
 
等级测评结论一般如下表所示:
测评结论和综合得分
被测对象名称 ××系统 安全保护等级 第二级(S2A2
等级保护
对象形态
√传统IT系统       √云计算       □采用移动互联技术的系统       □物联网       □工业控制系统       □大数据       □其他系统      
被测对象描述 ××系统在线服务应用,能进一步提供给用户制定升学规划,方便用户更加注地学习专业技能,不用浪费时间在筛选学校及专业上。
测评工作描述 安徽灵狐网络科技有限公司成立于200×年6月,是一家专门从事计算机网络安全服务的专业安全公司。目前公司拥有由极富信息安全实践经验和鉴定经验的专家、具有顶尖资质的信息安全精英组成的技术、管理团队xx余人。本次测评是按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第二级信息系统安全要求进行安全测评。本测评项目的开展经历了测评准备阶段、方案编制阶段、现场实施阶段、分析与报告编制阶段四个阶段,历时三个月左右,投入测评人员8人,使用了多种测评设备/工具。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,涉及测评分类70类。
等级测评结论 综合得分 84.2
         
 
 
总体评价是测评机构对于本次测评的总体性描述。安徽灵狐科技为几百家企业客户提供过等级保护一站式服务,下面是其中一位企业级客户的测评报告中的总体评价,安徽灵狐科技以此为例进行说明:
 
本次对被测系统实施的等级测评工作包含两个方面的内容:单元测评和整体测评。单元测评主要测评《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)所要求的基本安全控制在被测单位中的实施和配置情况。整体测评主要测评分析信息系统的整体安全性。汇总第3和第4章的内容,对被测系统实施单元测评和整体测评分析后,可以得到如下测评结果:
 
被测系统的物理布局、网络结构和业务逻辑等在整体结构上合理、安全。在物理上,被测系统的重要设备均部署在具有严格访问控制、防火、防水防潮、防破坏等能力的独立机房内,并严格限制了外部人员的物理访问。在网络上,被测系统网络边界采取防火墙隔离实施边界防护和访问控制,阿里云控制台未定期进行以及形成漏洞修复方案。操作系统、应用系统、数据库等各种业务应用平台都采取了基本的身份鉴别、访问控制、审计等安全措施。在入侵防范和恶意代码防护上,采用防火墙等安全措施。在数据备份方面,重要数据每日备份。总体来看,安全技术方面具有基本安全保障能力。
 
在安全管理方面,被测系统所属单位已经建立了基本的信息安全管理体系,建立了相应的安全组织,设置了相应的安全部门和岗位,制订了安全管理制度,并在日常管理中依照制度要求执行。信息系统日常运行维护,如外来人员访问管理、系统安全管理和网络安全管理等方面,拥有较完善的流程和规范。总体来看,安全管理方面具有基本安全保障能力。
 
综合上述评价结果,可以看到信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。因此,本次等级测评结论为:良。
 
主要安全问题主要描述被测信息系统存在的主要安全问题及其可能导致的后果,问题处置建议则是针对系统存在的主要安全问题提出处置建议。如:
 
通过本次等级测评,发现被测系统仍存在一些安全问题,主要包括:
安全通信网络:1)未采用可信技术进行可信验证。
整改建议:1)建议采用可信技术进行可信验证。
 
安全区域边界:1)阿里云审计记录采用阿里云OSS存储并定期备份,目前审计记录未保留6个月。2)未采用可信技术进行可信验证。
整改建议:1)持续整改直至审计记录保存6个月的时间。2)建议采用可信技术进行可信验证。
 
在详细整理国家相关等保规范的基础上,安徽灵狐科技整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,为客户提供了等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助企业客户高效、合规落实等级保护,获得等级保护认证

服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号