等级测评通过访谈、检查、渗透测试等技术手段对系统安全技术和安全管理上的各层面进行检测,查找系统安全隐患和漏洞,并给出相应的建设整改意见。通过实施等级 测评和安全建设整改,实现“进不来、拿不走、看不懂、跑不掉”的安全管理目标,体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到重点地方。
等级保护测评的主要内容
两大类别 、十个层面:
两大类别 、十个层面:
1、物理安全:防火、防水和防潮、 防静电、防雷击、电磁防护、温湿度控制、电力供应、通信线缆安全、物理访问控制、设备安全、介质安全、物理位 置选择
2、网络安全:网络访问控制、拨号访问控制、恶意代码防范、结构安全、 网络设备防护、网络安全审计、网络入侵防范、边界完整性检查
3、主机安全:身份鉴别、访问控 制、安全审计、剩余信息保护、入侵防 范、恶意代码防范、系统资源控制
4、应用安全:身份鉴别、访问控 制、安全审计、通信完整性、通信保密 性、抗抵赖、软件容错、资源控制、代 码安全
5、数据安全:数据完整性、数据机密性、安全备份
二、安全管理类:
1、安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作
2、安全管理制度:管理制度、制定和发布、评审和修订
3、人员安全管理:人员录用、人员 离岗、教育和培训、第三方人员访问控 制
4、系统建设管理:安全服务商的选 择 、系统定级、安全方案设计、产品采 购、软件开发、工程实施、测试验收、 系统交付
5、系统运维管理:环境管理、资产 管理、介质管理、设备管理、监控管 理、网络安全管理、系统安全管理、恶 意代码防范管理、备份与恢复管理、安 全事件处理、应急预案管理
