信息系统等级保护测评需求说明
一、服务方式
乙方及其工作人员在现场实施测评期间,通过包括但不限于人员访谈、文档检查、技术核查等多种方式向甲方提供本合同内所述测评服务。
1.人员访谈
测评人员通过询问、交流的方式,检查系统运行相关工作人员在实际工作中对安全管理规章制度的认知程度和执行情况;
2.文档检查
测评人员通过检查文档及信息安全相关管理制度,验证用户已有文档与相关标准要求的符合程度;
3.技术核查
测评人员分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心五个层面,检查系统安全策略的部署和实施现状,查看系统中设置的安全策略是否有效地发挥作用。
二、服务进度
1.甲方向乙方提供相关资料并配备专人配合乙方完成基本情况调研。乙方在完成现场测评后按照制订的工作计划完成报告初测初稿(又称《差距测评报告》)。
2.自甲方签署漏洞扫描授权书授权乙方测试人员在指定时间范围内对甲方指定被测系统实施漏洞扫描服务,乙方在完成对被测系统的漏洞扫描服务后20个工作日内出具《安全漏洞扫描报告》。
3.甲方有权于收到初测初稿、《安全漏洞扫描报告》后提出书面意见,乙方应本着合法、符合《等级保护测评工作管理规范》和《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2018)等文件要求、结合目标系统安全防护的真实水平出具初测终稿(即《差距测评报告》和《安全整改建议》)。《差距测评报告》和《安全整改建议》是乙方向甲方提供网络安全等级保护测评服务实施中的过程文件。
4.乙方对甲方开展的安全整改提供必要的指导。甲方整改完毕后20个工作日内完成甲方等保测评工作。
5.甲方开展有效整改工作后,由乙方开展验证性测评工作。乙方完成验证性测评工作后编制《信息系统等级保护测评报告》。验证测评工作周期拟定为20个工作日。
换一批