深圳等級(jí)保護(hù)三級(jí)測(cè)評(píng)要求有哪些？深圳等級(jí)保護(hù)測(cè)評(píng)怎么整改？雖然等保分為五個(gè)級(jí)別，但實(shí)現(xiàn)項(xiàng)目落地的都是二、三和四級(jí)，最低的一級(jí)單位作為建議，也是可以自行備案，但是作用不大，下面就和公司寶一起來(lái)看看等保測(cè)評(píng)的相關(guān)內(nèi)容。

深圳等級(jí)保護(hù)三級(jí)測(cè)評(píng)要求以及怎么整改：

1、崗位設(shè)置

a：應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)。

測(cè)評(píng)經(jīng)驗(yàn)： 此條測(cè)評(píng)項(xiàng)主要是檢查客戶有沒(méi)有設(shè)立安全管理部門來(lái)具體負(fù)責(zé)信息安全工作，一般來(lái)說(shuō)，政府單位會(huì)設(shè)立信息中心負(fù)責(zé)，并且會(huì)設(shè)置信息中心主任（一般就默認(rèn)為安全主管），而在測(cè)評(píng)過(guò)程中發(fā)現(xiàn)，企業(yè)在這方面做的工作就不夠，很多企業(yè)就只是有個(gè)兼職的部門來(lái)做這個(gè)事，而且沒(méi)有相應(yīng)的安全主管或安全負(fù)責(zé)人。我們?cè)趯?duì)這項(xiàng)進(jìn)行測(cè)評(píng)的時(shí)候，要詢問(wèn)并記錄安全管理責(zé)任部門、責(zé)任人、安全主管的具體名稱，并要查看具體的崗位職責(zé)文件（有可能在任命文件中會(huì)提到）。

b：應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。

測(cè)評(píng)經(jīng)驗(yàn) ：這條就比較容易測(cè)評(píng)了，就訪談客戶看看有沒(méi)有設(shè)立安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、機(jī)房管理員等職位，并且應(yīng)提供專門的任職職責(zé)文件。一般來(lái)說(shuō)，既然標(biāo)準(zhǔn)都著重提出安全、系統(tǒng)、網(wǎng)絡(luò)這三個(gè)管理員，所以我們也要著重看。值得注意的是，一是安全管理員必須是專職的，不能由任何其他管理員兼任；二是系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員不能為同一自然人，這兩點(diǎn)要特別注意。但在很多真實(shí)環(huán)境中，客戶方往往都沒(méi)有專門設(shè)立相應(yīng)的管理員，特別是安全管理員，并且根本不會(huì)出什么文件來(lái)明確各管理員的職責(zé)，本人遇到過(guò)的一個(gè)單位，整個(gè)安全部門就兩個(gè)人，這種情況就是需要整改了。

c：應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。

測(cè)評(píng)經(jīng)驗(yàn) ：在這一條測(cè)評(píng)項(xiàng)中，我們要詢問(wèn)客戶方是否成立了信息安全委員會(huì)或者領(lǐng)導(dǎo)小組，不能客戶說(shuō)成立了就成立了，我們應(yīng)該要查看領(lǐng)導(dǎo)小組成立的正式文件，要查看這個(gè)文件中的組長(zhǎng)和組員，要求文件中應(yīng)有每個(gè)人的聯(lián)系方式以及工作職責(zé)。值得注意的是：領(lǐng)導(dǎo)小組的組長(zhǎng)應(yīng)由企業(yè)一把手擔(dān)任，雖然標(biāo)準(zhǔn)中沒(méi)說(shuō)必須，但在我國(guó)國(guó)情下（自行腦補(bǔ)國(guó)家信息安全領(lǐng)導(dǎo)小組組長(zhǎng)），都應(yīng)該由一把手來(lái)?yè)?dān)任。

可以分享個(gè)真實(shí)的案例，我們當(dāng)?shù)氐囊患腋咝ｉT戶網(wǎng)站被入侵，首頁(yè)發(fā)布了一些影響較大的言論，造成了一些影響，這種情況下，一把手當(dāng)時(shí)是首當(dāng)其沖的，所以我們測(cè)評(píng)過(guò)程中都是要求客戶要由一把手來(lái)負(fù)責(zé)安全工作。

d：應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。

測(cè)評(píng)經(jīng)驗(yàn)：這一條中，我們要檢查部門、崗位職責(zé)文件，查看部門職責(zé)是否覆蓋物理、網(wǎng)絡(luò)、系統(tǒng)安全等各個(gè)方面。崗位職責(zé)文件其實(shí)也可以查看招聘要求，招聘的時(shí)候一般就會(huì)說(shuō)明此崗位的職責(zé)和需要的技能要求。一般我建議客戶的整改方案是制作一份部門的職責(zé)的文件，里面全面描述部門職責(zé)、人員劃分及職責(zé)的情況。

2、人員配備

a：應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。

測(cè)評(píng)經(jīng)驗(yàn)： 這一條的測(cè)評(píng)方法就是詢問(wèn)客戶系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的配備數(shù)量，要求是至少1人及以上。但很多客戶是達(dá)不到這種要求的，而我的建議整改是用兼職來(lái)代替，但兼職的注意事項(xiàng)就要參考b來(lái)實(shí)施了。

b：應(yīng)配備專職安全管理員，不可兼任。

測(cè)評(píng)經(jīng)驗(yàn)： 這一條就是要求客戶的安全管理員是專崗專職的，不能由其他職位人員來(lái)兼任。如何驗(yàn)證是專崗專職呢，就查看崗位人員情況表。

c：關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。

測(cè)評(píng)經(jīng)驗(yàn)： 這一條的測(cè)評(píng)難點(diǎn)是在關(guān)鍵事務(wù)崗位的認(rèn)定，很多客戶是根本不會(huì)想到還有關(guān)鍵事務(wù)崗位這個(gè)條件的，所以我一般會(huì)給客戶解釋哪些可以認(rèn)定為關(guān)鍵事務(wù)崗位，一般就是安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、機(jī)房管理員等，也可以包含其他的崗位，比如處理金錢的職位（和分為出納與財(cái)務(wù)是一個(gè)道理）、前臺(tái)敏感操作權(quán)限的職位等。關(guān)鍵事務(wù)崗位就要求必須是2人及以上了，或者互設(shè)為AB角。

3、授權(quán)和審批

a：應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。

測(cè)評(píng)經(jīng)驗(yàn)：這條測(cè)評(píng)項(xiàng)的測(cè)評(píng)方法就是訪談安全主管，詢問(wèn)對(duì)哪些信息系統(tǒng)活動(dòng)進(jìn)行審批，審批的部門是何部門，審批人是何人。一般情況下客戶都會(huì)有這些東西，但是不會(huì)很全面，這個(gè)時(shí)候我一般就建議客戶先把一些重要的活動(dòng)進(jìn)行審批就行，包含但不限于物理訪問(wèn)、遠(yuǎn)程控制、權(quán)限授予與變更、系統(tǒng)接入、需求變更等。

b：應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度。

測(cè)評(píng)經(jīng)驗(yàn)：這一條說(shuō)的比較清楚了，測(cè)評(píng)過(guò)程中至少要查看四份審批單：系統(tǒng)變更（包括權(quán)限變更、結(jié)構(gòu)變更等）、重要操作（數(shù)據(jù)刪除、權(quán)限變更、數(shù)據(jù)備份等）、物理訪問(wèn)（訪問(wèn)物理機(jī)房、訪問(wèn)辦公環(huán)境中的敏感區(qū)域等）、系統(tǒng)接入（網(wǎng)絡(luò)接入、遠(yuǎn)程控制、wifi接入等）。要查看這個(gè)審批流程中是否包含申請(qǐng)人、審核人、批準(zhǔn)人，某些審批單也要查看授權(quán)的有效時(shí)間，因?yàn)橛龅竭^(guò)授權(quán)日期已過(guò)，但授權(quán)賬號(hào)還存在的情況，這是需要特別注意的。

c：應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。

測(cè)評(píng)經(jīng)驗(yàn)：這條的測(cè)評(píng)方式是檢查審批事項(xiàng)的記錄，查看是否對(duì)審批事項(xiàng)、審批部門、審批人的變更進(jìn)行評(píng)審；詢問(wèn)安全主管是否定期審查、更新審批項(xiàng)目，審查周期多長(zhǎng)。為什么會(huì)有這一項(xiàng)測(cè)評(píng)，因?yàn)樵趯?shí)際環(huán)境中，特別是在大型企業(yè)中，往往部門很多，人員復(fù)雜，業(yè)務(wù)流程復(fù)雜，審批流程涉及人員多。存在某一人員離崗后還在使用以前的審批流程，就會(huì)導(dǎo)致越權(quán)操作，所以要定期審查審批事項(xiàng)。

d: 應(yīng)記錄審批過(guò)程并保存審批文檔。

測(cè)評(píng)經(jīng)驗(yàn)：這條就不用說(shuō)了，隨機(jī)抽查幾份審批文檔，看看是否與當(dāng)時(shí)及當(dāng)前的情況一致。

4、溝通和合作

a：應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題。

測(cè)評(píng)經(jīng)驗(yàn)：這個(gè)測(cè)評(píng)比較簡(jiǎn)單，就查看下內(nèi)部有沒(méi)有在一起開過(guò)會(huì)，有沒(méi)有一起處理過(guò)安全問(wèn)題，這個(gè)只需要客戶提供會(huì)議紀(jì)要或者處理安全問(wèn)題的過(guò)程表就行了，時(shí)間上面不需要特別的要求。

b：應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通。

測(cè)評(píng)經(jīng)驗(yàn)：這一條就不多說(shuō)，默認(rèn)符合，原因不好說(shuō)，就自行理解吧。

c：應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通。

測(cè)評(píng)經(jīng)驗(yàn)：這條測(cè)評(píng)項(xiàng)其實(shí)也沒(méi)什么好說(shuō)的，如何算是符合呢，只要客戶能提供與安全服務(wù)商簽訂的合作合同就行，像我們自身是測(cè)評(píng)單位，肯定也會(huì)與客戶簽訂關(guān)于等保測(cè)評(píng)的合同，所以這條默認(rèn)符合。

d：應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。

測(cè)評(píng)經(jīng)驗(yàn)：這一條就查看客戶能否提供外聯(lián)單位的聯(lián)系列表，為什么會(huì)要求這項(xiàng)內(nèi)容呢，個(gè)人理解就是甲方人員變動(dòng)的時(shí)候，方便下一位接手人員能夠更快的接手工作。

e：應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審等。

測(cè)評(píng)經(jīng)驗(yàn)：這一條就要看合同的內(nèi)容了，一般只要與安全公司簽訂安全服務(wù)合同，像什么安全運(yùn)維的、應(yīng)急的、評(píng)估的、規(guī)劃的內(nèi)容等等都是可以的。這一條主要測(cè)評(píng)是在理解“常年”二字，就是要查看合同的期限，一般來(lái)說(shuō)有連續(xù)三年以上的才算符合。

5、審核和檢查

a：安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

測(cè)評(píng)經(jīng)驗(yàn)：這一條的測(cè)評(píng)主要是看“定期”與“檢查內(nèi)容”兩詞，要查看客戶有沒(méi)有提供安全檢查的報(bào)告。查看報(bào)告的時(shí)間就可以看出是不是定期的；查看檢查項(xiàng)就可以看出檢查了哪些方面。這一項(xiàng)的測(cè)評(píng)其實(shí)很大意義上來(lái)說(shuō)是系統(tǒng)管理員的工作，但很多系統(tǒng)管理員對(duì)漏洞這塊內(nèi)容不太熟，所以如果是系統(tǒng)管理員和安全管理員一起執(zhí)行此項(xiàng)工作是很好的。一般來(lái)說(shuō)，客戶不會(huì)做的細(xì)則，很多情況就是把相應(yīng)的系統(tǒng)或者設(shè)備加到監(jiān)控系統(tǒng)里面去，比如Zabbix等，但系統(tǒng)漏洞這塊的內(nèi)容很多監(jiān)控系統(tǒng)就沒(méi)法完成，所以這一項(xiàng)很多都得不了滿分，給個(gè)3分算高的。

b：應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。

測(cè)評(píng)經(jīng)驗(yàn)：這一項(xiàng)得滿分的就基本沒(méi)有了，首先要理解全面的安全檢查，僅這一塊，就很多客戶頭大了，因?yàn)楦静恢酪獧z查些什么。我到客戶現(xiàn)場(chǎng)的一般做法是就是先把客戶的各種權(quán)限授予單拿出來(lái)對(duì)比，一般就直接扣分了，再看安全管理制度的執(zhí)行情況，那就基本確認(rèn)0分了。這一項(xiàng)其實(shí)很多客戶都是做了相應(yīng)的工作的，只是沒(méi)有形成完善的流程體系，所以失分比較多，我會(huì)建議客戶在以后的安全工作都要做好記錄，凸顯工作量，也好給領(lǐng)導(dǎo)看。

c：應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。

測(cè)評(píng)經(jīng)驗(yàn) ：這項(xiàng)測(cè)評(píng)要求看起來(lái)字不多，但是要查看的資料其實(shí)是蠻多的，一是首先要有個(gè)安全檢查表，二是要實(shí)施了安全檢查工作，三是要匯總安全檢查的數(shù)據(jù)，四是要查看是否有安全檢查報(bào)告，五是要進(jìn)行結(jié)果通報(bào)。很多企業(yè)其實(shí)在第一點(diǎn)上面就直接OVER了，這種情況太多了。。同理，基本都是零分。一般給客戶建議的就是定期做個(gè)安全檢查，如果不會(huì)，就請(qǐng)第三方來(lái)做。

d：應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)。

測(cè)評(píng)經(jīng)驗(yàn)：這一條測(cè)評(píng)項(xiàng)就是一個(gè)具體的制度了，客戶一般都沒(méi)有，這項(xiàng)的測(cè)評(píng)打分就看有沒(méi)有這個(gè)制度，只要有就得了4分，如果內(nèi)容也比較全的話，就可以得5分了（一般內(nèi)容都不全，4分算是比較合理的）。我一般就建議客戶在取制度名稱的時(shí)候就直接取“安全審核和安全檢查制度”。這個(gè)制度主要拿來(lái)規(guī)范和支持安全審核和安全檢查工作的，一般內(nèi)容包括但不限于規(guī)定檢查內(nèi)容、檢查程序、檢查周期、檢查人員資格、檢查對(duì)象、檢查方式、檢查工具、檢查結(jié)果處理等內(nèi)容。

以上就是公司寶給大家整理的“深圳等級(jí)保護(hù)三級(jí)測(cè)評(píng)要求”的相關(guān)內(nèi)容，進(jìn)行等保測(cè)評(píng)辦理并不是一件簡(jiǎn)單的事情，這其中涉及到很多流程，還有許多資料需要進(jìn)行整理，想要辦理等保測(cè)評(píng)的企業(yè)，可以直接掃描下方二維碼咨詢公司寶。

相關(guān)推薦：

深圳三級(jí)等保測(cè)評(píng)怎么辦理 深圳三級(jí)等保測(cè)評(píng)收費(fèi)多少

成都網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)步驟 等保測(cè)評(píng)是法律規(guī)定的嗎

深圳信息安全等級(jí)保護(hù)測(cè)評(píng)指南 深圳三級(jí)等保測(cè)評(píng)辦理

標(biāo)簽： 深圳等級(jí)保護(hù)測(cè)評(píng)辦理 深圳三級(jí)等保測(cè)評(píng) 等級(jí)保護(hù)測(cè)評(píng)整改