二级及以上的信息系统都需要做等级保护测评,在这个阶段,测评主要由测评机构来实施。测评机构的测评包括两个大的方面一是技术方面的测评,另一个是管理方面的测评,机房测评就是技术测评里面的一个部分。
安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评。测评技术层面具体的对象是:
①机房:本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
②业务应用软件:本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
③主机操作系统:本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
④数据库系统:本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
⑤网络设备:本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
测评机构的测评是需要向企业收取服务费的,由于测评不仅需要测评机房,我们在这里讨论的测评费用都是按照整体的测评费用来说的。绝大多数情况下,等保测评费用都是根据省份、测评数量等的不同。