等保测评须知:信息系统等级保护测评时需要注意哪些问题?_西安等保测评定级备案
首页>>技术前沿>>网站/软件行业动态
等保测评须知:信息系统等级保护测评时需要注意哪些问题?
作者:西安软件开发 | 转载 来源:西安软件公司 | 时间:2020年1月5日| 点击:0次 | 【评论】

随着国家对银行,医院,大专院校等在信息系统安全保护方面要求的升级,也就是俗称的等保测评,大家提及等保测评很多人是一脸懵逼。那么做等保测评需要注意哪些事项?有哪些注意风险?专业的等级保护等保测评机构开展等级保护测评工作前需要提前告知客户,由于等级保护测评哪些操作会给信息系统带来一些影响,而该如何避免这些风险发生,如果真的出现这些问题时需要如何处理,这些都是需要在签订等保测评服务合同时需要协商好的内容。那么一般来说信息系统在进行等级保护测评的时候,有哪些风险需要注意?

在进行等保测评过程中可能存在以下风险:
1)验证测试对运行系统可能会造成影响
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
2)工具测试对运行系统可能会造成影响
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试。测试可能会对系统的负载造成一定的影响,漏洞扫描测试可能对服务器和网络通讯造成一定影响甚至伤害。
3)敏感信息泄漏
泄漏被检测单位信息系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
等保测评
在等保测评过程中可以通过采取以下措施规避风险:

1)现场等保测评工作风险的规避
进行验证测试和工具测试时,等保测评机构需要与测评委托单位充分的协调,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要被测系统运营、使用单位对整个测试过程进行监督;在进行验证测试和工具测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案;上机验证测试原则上由被测系统运营、使用单位相应的技术人员进行操作,等保测评人员根据情况提出需要操作的内容,并进行查看和验证,避免由于等保测评人员对某些专用设备不熟悉造成误操作;等保测评机构使用的测试工具在使用前应事先告知被测系统运营、使用单位,并详细介绍这些工具的用途以及可能对信息系统造成的影响,征得其同意。必要时先进行一些试验。
2)签署保密协议
等保测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。等保测评工作的成果属被测系统运营、使用单位所有,等保测评机构对其的引用与公开应得到被测系统运营、使用单位的授权,否则被测系统运营、使用单位将按照保密协议的要求追究等保测评机构的法律责任。

弈聪信息技术有限公司(简称:弈聪软件)是一家集网络安全等级保护建设、整改与咨询及相关安全服务等服务于一身的公司。公司始终将“帮助客户在行业中领航”视为目标,强大的技术团队做保障,可信赖的服务和售后让您永无后顾之忧。做等保测评,选弈聪软件,为你提供定级备案,支持系统安全建设整改、等保测评、获取证书一站式服务。

此内容DOC下载 此内容PDF下载

【全文完】
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])

版权声明:

1、弈聪软件网站内容中凡注明“来源:XXX(非西安弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“西安弈聪”的作品系本站版权所有,任何人转载请署名来源,否则西安弈聪将追究其相关法律责任。

2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。