现在很多人不了解等保测评是一项怎样的工作,不知道自己公司是否需要做等保测评,以及等保测评一定要让第三方做吗?这些问题对于初次接触的朋友来说,都是非常疑惑的。特别是一些IT公司的高管,觉得公司本身有很多技术人员,让这些人员按照相关的标准测试一遍,写一份报告交给相关部门,不就OK了吗?NO,等级保护测评没有那么随便,是有标准流程和标准要求的。
等级保护2.0涉及范围为:凡是在中华人民共和国境内建设、运营、维护和使用的基础网络、信息系统、关键基础设施,其等级为第二级及以上的企事业单位都需要开展等级保护工作。
当贵公司的定级对象定级为二级以上时,就要开展测评工作了,测评包括差距测评出整改清单--整改--复评出测评报告--提交相关监管部门。而这几步中,只有整改部分是公司本身可以进行修改的,也可以寻找第三方合作。其他测评、测评报告都是需要具备等保测评资质的机构来开展的。
什么样的公司/单位具备信息安全等级保护测评资质
该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
其外,还可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构的实力。
测评机构的测评案例有哪些,是否做过贵公司所从事行业的等保测评工作,了解该公司的测评工程师的级别,工程师是否通过CIIP-T、CISP、CISSP等技术认证等等也是选择测评公司时,需要进行深入了解的。