等保测评的对象主要包括以下几个方面:
1. 信息系统:由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。常见的信息系统包括办公自动化系统(OA)、客户关系管理系统、进销存管理系统等。
2. 通信网络设施:为信息流通、网络运行等起基础支撑作用的网络设备设施,如电信网、广播电视传输网,以及行业或单位的跨省专用网等。
3. 数据资源:大数据作为数据资源的典型例子,随着大数据的应用需求,数据资源逐渐成为独立的等级保护对象。
在进行等保测评时,有以下几个注意事项:
1. 定级准确性:信息系统的安全级别分为五个等级,1级为最低级别,5级为最高级别(5级为预留级别,实际定级最高为4级)。定级过高可能造成投资浪费,定级过低可能导致重要信息系统得不到应有的保护。
2. 备案场所:等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。备案通常需要在运营地区的网安部门办理。
3. 系统备案:如果单位的注册地与运营地不一致,需要到运营地区的网安部门办理备案手续。对于部署在云平台的系统,应在系统实际运维团队所在地市网安部门进行系统备案。
4. 特殊行业要求:某些特殊行业如金融安全行业,可能需要在注册地办理定级备案手续,以满足本地监管要求。
5. 专家评审和主管部门审核:等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,使定级过程更加规范和准确。
6. 避免主观定级:定级应基于系统的重要性,而不是仅凭主观意愿。
7. 技术能力和管理:重设备轻管理的现象需要避免,需要有网络安全管理专职岗位,提高技术人员的技术水平和安全意识。
8. 全面理解网络安全:不应片面理解网络安全,不应仅关注渗透测试,而忽视了其他安全措施和测评的重要性。
9. 合理规划测评流程:测评机构应具备长远发展规划,测评过程应独立、客观,不受客户或产品厂商的影响。
10. 标准体系理解:等保2.0标准体系可能存在一些问题,如标准制定可能受安全产品厂商影响,标准制定水平可能较1.0有所差距,需要准确理解标准内容。
进行等保测评时,应综合考虑这些因素,确保测评的准确性和有效性。