本文主要是介绍2024等保贯穿总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
严重不符合项:
- 离职人员不能在报告上签字!!!
- 因为人员离职导致测评人员不够的(会开观察项)
- 业务受理人员:管合同的人员、签合同的人员、市场部和人员有关的人员都要写进来
签字的人员一定要有相关的授权书和社保来佐证!!!
4服务管理要求
4.1法律法规要求
4.1.1测评机构应严格遵守《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》、《中华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》、《认证证书和
认证标志管理办法》及公安部出台的网络安全相关行业监管文件等相关法律法规,并满足本文件规定的相关要求。
- 要收集法律法规文件、外来文件
- 不做定级备案的系统不可以加盖小蓝章和认证标识!!!(包括电力的系统)
- 原始记录,图表,截图,照片等
- 原始漏洞扫描记录、原始渗透测试记录,以及签字确认的截图
- 谁做的事情谁来签字确认,不能代签!
- 测评过程文档中除了测评报告、测评方案、授权文档、盖章原件、原始记录签字确认记录必须为纸质档外,其余测评文档可保存电子档,但电子档的管理应确保其可追溯性和不可更改性。
- 联动管理:
- 首先看2023年度机构签署了多少份合同(数据要记录下来)
- 签署的这些合同中开展等保测评的有多少份,哪一些还没有开展,哪一些是进行到了什么程度,哪一些已经归档了,已经完成的是否在档案管理室中可以找到这一份报告。
- 一份报告上只允许盖一个章!(仅可以加持在封面报告的显著位置),一个防伪标识。
(一个防伪标识0.5元,可以保证2年,每包1000个,该标识可以在认证管理平台线上申请(服务认证-标志申购-Trimps标志申购),每包1000枚,按包发放!本标识为镭射防伪标识,一标一码,黏贴的胶有2年保质期,建议根据机构自身实际情况,合理评估采购数量)
- 渗透测试人员应遵循测评方案开展验证测试工作,并记录验证测试过程。
- 管控渗透测试的过程
- 作业指导书的版本需要更新,测评指导书的测评方法内容应完善。
- 工具更新版本,版本更新控制,版本的有效性敏感度,包括几月几号更新的,更新了哪些内容等,什么时候更新的,这些设备在哪几个人手中等,通过甘特图进行一个体现!!!
- 做了多少个项目,配备了多少个设备,设备是否够用?设备的使用是否合理(应避免漏洞扫描设备的同一时间使用!!!)
配备的工具是否满足项目的使用!!!,避免一个设备同时在3个项目上出现!!!(重点研发三部)
- 测评报告专用章和防伪标识要联动管理,要有相关的管理记录文档,进行管控等,要有文件管理,要有专人记录等,盖章流程是怎样的?
- 保证测评过程的可追溯!!!要有一个完整的证据链!包括但不限于截图等。
- 十个层面的测评记录确认表,需要人员签字确认,且要精确到具体的日期!!!(测评记录需要变更)
不能进行笼统的签字!!!,需要签署日期
合同也需要签署日期!!!
- 风险告知书应是双向的,就算放弃渗透测试,也应告知客户风险也还是存在的,毕竟没有做漏洞扫描和渗透测试,就无法知晓客户的系统是否有真正的风险!!!(01:30:00)
- 漏洞扫描、渗透测试、渗透测试不能讨价还价,必须有盖章!
- 测评组长必须到现场,必须要有组长的差旅费等记录。
- 重点:现场见证(现场重新测评)-抽选约1/3的机构,70-80家测评机构会被现场见证到!!!(重点检查低价合同省份的地区机构),原组去现场做现场见证!!!也有可能是不同组成员,方式未确定!!!
三所审核的过程:
1)3月份开始年度监督
2)下第一批监督检查任务,会有认证工作管理人员和测评机构负责人联系,报备合同清单中倒数10%的名单给到审核组(可以有合同编号、合同项目名称等信息,但必须有合同金额!!!)
3)检查组到现场去做检查,通过2天现场的办公室评审,重点抽查哪些项目是否到现场确实去了现场做测评。
4)然后再从中猜测或选取到其中一家客户去现场做见证,以机构为主导进行沟通,要求客户配合。
重点:!!!5)今年重点检查低价竞争和代理测评!!!(采用现场见证的方式,通过整个组原班人员去现场测评的方式),验证测评结果,如现场见证的测评结果明显和上次现场测评的结果不一致!!!,资产调研和上次调研的资产情况差异很大!!!,原班人马去现场测评以后啥也不会做!!!,去的原班测评人员客户单位(甲方)都不认识这些测评人员等!!!
- 合同管理、项目管理、档案管理、测评章管理,联动管理
答疑:删除层面间
这篇关于2024等保贯穿总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
