现在很多人不了解等保测评是一项怎样的工作,不知道自己公司是否需要做等保测评,以及等保测评一定要让第三方做吗?这些问题对于初次接触的朋友来说,都是非常疑惑的。
特别是一些IT公司的高管,觉得公司本身有很多技术人员,让这些人员按照相关的标准测试一遍,写一份报告交给相关部门,不就OK了吗?
NO,等级保护测评没有那么随便,是有标准流程和标准要求的。
等级保护2.0涉及范围为:凡是在中华人民共和国境内建设、运营、维护和使用的基础网络、信息系统、关键基础设施,其等级为第二级及以上的企事业单位都需要开展等级保护工作。
当贵公司的定级对象定级为二级以上时,就要开展测评工作了,测评包括差距测评出整改清单--整改--复评出测评报告--提交相关监管部门。而这几步中,只有整改部分是公司本身可以进行修改的,也可以寻找第三方合作。其他测评、测评报告都是需要具备等保测评资质的机构来开展的。
什么样的公司/单位具备信息安全等级保护测评资质
该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
其次,还可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构的实力。
另外,测评机构的测评案例有哪些,是否做过贵公司所从事行业的等保测评工作,了解该公司的测评工程师的级别,工程师是否通过CIIP-T、CISP、CISSP等技术认证等等也是选择测评公司时,需要进行深入了解的。
