从《网络安全法》正式实施以来,越来越多的客户意识到网络安全的重要性,意识到等级保护工作的重要性,同时也是越来越多的行业主管部门主动要求行业内各部门主动开展等级保护测评。
等级保护测评工作是由符合规定要求的等级保护测评机构进行实施的。但是不同测评机构的综合实力是有一定的差距的,比如说湖北有两家测评机构在2017年公安部组织的中关村信息安全测评联盟测评能力验证中最终测评结果为零分,显然这样的测评机构技术水平是不达标的,那么这样的测评机构我们在选择时就得慎重。我们在开展等级保护测评时,更多的时需要借助第三方测评机构帮我们发现问题,而不是只是出一个测评报告。那么我们在选择测评机构时应该如何选择?今天不得不等就简单分析下。
首先,价格肯定是一个重要的因素,如果在能满足技术要求的前提下,我们选择一家价格有竞争力的测评机构理由还是比较充分的。那么,实际情况是价格可能一样或者差距不太大的情况下,我们就得好好考虑下,到底我们该如何选择。选择之前,我们得搞明白我们最根本的需求点是什么,核心需求点不一样,必然导致我们的选择不一样。不得不等认为做好等级保护测评,做好网络安全是我们很重要也最根本的一个需求点。如何能做好等级保护测评,这和测评机构有着非常大的联系,所以选择一家有实力的测评机构很重要,这将直接影响测评质量,每家测评机构参差不齐,必然导致测评的质量不一样,等级保护测评不是一件标准件,它的质量和测评机构有着直接的关系。
什么样的测评机构才是有实力的测评机构呢?不得不等从以下几个纬度去判断一家测评机构。
1、测评机构技术人员实力。我们可以了解测评机构的高级测评师、中级测评师、初级测评师的数量以及测评师是否通过CIIP-T、CISP、CISSP等技术认证来判断一家测评机构是否有足够的人员和技术实力去完成项目;还可以从测评机构提交的一些资料,看看这些机构有没参加一些信息安全类的竞赛,有没获得过一些名次去判断他们的技术实力如何。
2、测评机构的资质。除了最基本的测评机构推荐证书,有没有CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构实力如何。
3、测评机构有没参加过一些重大政治活动的应急支撑或者运维保障。这个比较明显了,一般实力不够的,在这样的重大活动中相关主管部门是不敢把这样的事交给他们做的,如果他们都做过这些事,那么我们的测评交给他们是不是更放心点?
4、测评机构有没有参加过官方组织的信息安全竞赛或者能力认证。当然要求是在这些比赛中获得不错的成绩。另外测评机构有没有获得过一些官方给予的荣誉、表彰,这也是一个因素;
5、测评机构的案例。测评机构做过的案例(同类案例、相似案例)相对比较多,那么它积累的经验相对就丰富,技术人员经过的历练就比较多,相对来说技术人员在做项目时更得心应手些,项目质量就更好;
6、测评机构和各级主管单位协作是否畅通。测评机构和各级主管单位日常工作配合顺畅,相应的沟通就会更加及时。
7、距离。测评机构离我们相对较近,服务起来会比较方便些,当然这不是绝对因素,一切以服务质量为前提,有些测评机构确实离我们很近,随叫随到,但是到了解决不了问题也不行。
以上就是如何选择一家测评机构的一些个人看法,仅供各位朋友参考。最后说一句:不忘初心,方得始终。我们不能忘记我们做等保的初衷,这样可能在我们不知道如何选择时更方便我们去做选择。
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
