打开网易新闻 查看精彩图片

1、测评准备阶段:企业要确定测评对象,梳理出需测评的信息系统范围。同时,测评机构组建专业团队,成员包括技术专家、安全分析师等。企业还需收集如系统架构图、安全策略文档、设备清单等资料,为后续测评提供依据。
2、方案编制阶段:测评团队依据收集的资料,深入分析系统业务功能、网络结构、数据流向等特点。再依据等保相关标准,确定具体的测评指标,像针对网络安全的入侵检测指标等。最后,编制详细测评方案,涵盖测评方法,如漏洞扫描、渗透测试,测评工具选择,以及测评进度安排。
3、现场测评阶段:开展文档审查,检查企业安全管理制度、操作手册等是否合规。通过技术测评,利用漏洞扫描工具、安全配置检查工具,对系统物理、网络、主机、应用、数据安全等方面检测。还需与系统管理人员、技术人员、运维人员访谈,全面了解系统安全管理与运行情况。
4、报告编制阶段:分析现场测评数据,评估系统安全状况。撰写测评报告,内容有测评概述、结果、安全问题分析、整改建议等,为企业整改提供指导。
5、整改与复测阶段:企业根据报告问题和建议整改系统,整改完成后,测评机构复测,验证整改效果,确保系统达到二级等保要求。