最近,很多从事等级保护测评的人,应该都已经开始关注《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》,我们都知道在此前全国二百多家测评机构,是一视同仁的没有级别区分,无论你的机构测评师只有15个人还是有50多个人,都是没有级别之分,都是一样的。 根据对等级保护近二十年的政策文件了解到,等级保护是一个不断发展不断成熟的工作,属于在发展中不断调优,不断适应的政策。17年等级保护开始进入2.0阶段,而接下来等级保护将全面进入2.0阶段,以一种全新的姿态展现在世人面前。 我们知道在《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。等级保护制度推进工作的一个重要内容是对等级保护对象开展安全测评,通过测评掌握其安全状况,为整改建设和监督管理提供依据。 开展安全测评应选择符合规定条件和相应能力的测评机构,并规范化其测评活动,通过专业化技术队伍建设,最终构建起网络安全等级保护测评体系。在此背景下,为确保有效指导测评机构的能力建设,满足等级保护工作要求,制定《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》。 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设、运营管理和资格评定等活动。该标准根据测评机构的综合能力和水平,进行了分级。测评机构按能力要求分为三级,级别由低到高依次是Ⅰ级、Ⅱ级和Ⅲ级,级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。 下图,是我通过《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》进行整理的思维导图,如果有兴趣的朋友可以通过篇首提示获取原图。 做对用户有真实价值的网络安全服务 |
|