等保测评机构在等保项目中负责测评安全技术和安全管理两大方面,具体测评内容如下:
方式:人员访谈、文档审查、实地察看。 内容:物理基础设施,包括位置选择、访问控制、防盗窃/破坏、防雷击、防火防水、防静电、温湿度控制、电力供应、电磁防护。 方式:人员访谈、配置检查、工具测试。 内容:网络互联设备、安全设备、拓扑结构,涵盖结构安全、访问控制、安全审计、边界完整性、入侵防范、设备防护、恶意代码防范(三级系统)。 方式:人员访谈、配置检查、工具测试。 内容:服务器操作系统、数据库管理系统,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(三级系统)。 方式:人员访谈、配置检查、工具测试。 内容:应用系统,涵盖身份鉴别、访问控制、安全审计、通信完整性/保密性、软件容错、资源控制、剩余信息保护、抗抵赖(三级系统)。 数据安全: 方式:人员访谈、配置检查。 内容:管理数据及业务数据,包括数据完整性、保密性、备份和恢复。
方式:人员访谈、文档审查、实地察看。 内容:制度的制定/发布、评审/修订。 方式:人员访谈、文档审查。 内容:岗位设置、人员配备、授权/审批、沟通/合作、审核/检查。 方式:人员访谈、文档审查。 内容:人员录用/离岗、考核、安全意识教育/培训、外部人员访问管理。 方式:人员访谈、文档审查。 内容:系统定级、安全方案设计、产品采购/使用、软件开发(自行/外包)、工程实施、测试验收、系统交付、服务商选择、系统备案/测评(三级系统)。 方式:人员访谈、文档审查。 内容:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份/恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(三级系统)。
