2024等保贯穿总结

本文主要是介绍2024等保贯穿总结，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

严重不符合项：

1. 离职人员不能在报告上签字！！！
2. 因为人员离职导致测评人员不够的（会开观察项）

1. 业务受理人员：管合同的人员、签合同的人员、市场部和人员有关的人员都要写进来

签字的人员一定要有相关的授权书和社保来佐证！！！

4服务管理要求

4.1法律法规要求

4.1.1测评机构应严格遵守《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》、《中华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》、《认证证书和

认证标志管理办法》及公安部出台的网络安全相关行业监管文件等相关法律法规，并满足本文件规定的相关要求。

1. 要收集法律法规文件、外来文件

1. 不做定级备案的系统不可以加盖小蓝章和认证标识！！！（包括电力的系统）
2. 原始记录，图表，截图，照片等
3. 原始漏洞扫描记录、原始渗透测试记录，以及签字确认的截图
4. 谁做的事情谁来签字确认，不能代签！
5. 测评过程文档中除了测评报告、测评方案、授权文档、盖章原件、原始记录签字确认记录必须为纸质档外，其余测评文档可保存电子档，但电子档的管理应确保其可追溯性和不可更改性。
6. 联动管理：

1. 首先看2023年度机构签署了多少份合同（数据要记录下来）
2. 签署的这些合同中开展等保测评的有多少份，哪一些还没有开展，哪一些是进行到了什么程度，哪一些已经归档了，已经完成的是否在档案管理室中可以找到这一份报告。
3. 一份报告上只允许盖一个章！（仅可以加持在封面报告的显著位置），一个防伪标识。

（一个防伪标识0.5元，可以保证2年，每包1000个，该标识可以在认证管理平台线上申请（服务认证-标志申购-Trimps标志申购），每包1000枚，按包发放！本标识为镭射防伪标识，一标一码，黏贴的胶有2年保质期，建议根据机构自身实际情况，合理评估采购数量）

1. 渗透测试人员应遵循测评方案开展验证测试工作，并记录验证测试过程。
2. 管控渗透测试的过程
3. 作业指导书的版本需要更新，测评指导书的测评方法内容应完善。
4. 工具更新版本，版本更新控制，版本的有效性敏感度，包括几月几号更新的，更新了哪些内容等，什么时候更新的，这些设备在哪几个人手中等，通过甘特图进行一个体现！！！
5. 做了多少个项目，配备了多少个设备，设备是否够用？设备的使用是否合理（应避免漏洞扫描设备的同一时间使用！！！）

配备的工具是否满足项目的使用！！！，避免一个设备同时在3个项目上出现！！！（重点研发三部）

1. 测评报告专用章和防伪标识要联动管理，要有相关的管理记录文档，进行管控等，要有文件管理，要有专人记录等，盖章流程是怎样的？
2. 保证测评过程的可追溯！！！要有一个完整的证据链！包括但不限于截图等。
3. 十个层面的测评记录确认表，需要人员签字确认，且要精确到具体的日期！！！（测评记录需要变更）

不能进行笼统的签字！！！，需要签署日期

合同也需要签署日期！！！

1. 风险告知书应是双向的，就算放弃渗透测试，也应告知客户风险也还是存在的，毕竟没有做漏洞扫描和渗透测试，就无法知晓客户的系统是否有真正的风险！！！（01:30:00）
2. 漏洞扫描、渗透测试、渗透测试不能讨价还价，必须有盖章！
3. 测评组长必须到现场，必须要有组长的差旅费等记录。
4. 重点：现场见证（现场重新测评）-抽选约1/3的机构，70-80家测评机构会被现场见证到！！！（重点检查低价合同省份的地区机构），原组去现场做现场见证！！！也有可能是不同组成员，方式未确定！！！

三所审核的过程：

1）3月份开始年度监督

2）下第一批监督检查任务，会有认证工作管理人员和测评机构负责人联系，报备合同清单中倒数10%的名单给到审核组（可以有合同编号、合同项目名称等信息，但必须有合同金额！！！）

3）检查组到现场去做检查，通过2天现场的办公室评审，重点抽查哪些项目是否到现场确实去了现场做测评。

4）然后再从中猜测或选取到其中一家客户去现场做见证，以机构为主导进行沟通，要求客户配合。

重点：！！！5）今年重点检查低价竞争和代理测评！！！（采用现场见证的方式，通过整个组原班人员去现场测评的方式），验证测评结果，如现场见证的测评结果明显和上次现场测评的结果不一致！！！，资产调研和上次调研的资产情况差异很大！！！，原班人马去现场测评以后啥也不会做！！！，去的原班测评人员客户单位（甲方）都不认识这些测评人员等！！！

1. 合同管理、项目管理、档案管理、测评章管理，联动管理
    

 

答疑：删除层面间

这篇关于2024等保贯穿总结的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---