山西二级等保测评包含的内容主要从技术和管理两个层面进行考察,确保信息系统的安全性能并维持其保护措施的有效性。以下是具体的测评内容:
一、技术层面
安全物理环境:对机房位置与环境、电力与电磁防护有要求。
安全通信网络:对网络架构、通信传输、可信验证有测评要求。
安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:针对服务器与虚拟机安全、数据库安全、应用程序安全方面有测评要求。
安全管理中心:主要包含系统管理、审计管理、安全管理、集中管控这几方面。
二、管理层面
安全管理制度:对制度制定、制度执行有要求。
安全管理机构:对机构设置、人员配备有测评要求。
安全管理人员:包含人员录用与培训、人员离岗管理方面。
安全建设管理:要求定级备案、方案设计与实施、安全运维管理、环境管理、资产管理、漏洞管理、备份与恢复管理、安全事件处置方面完备。
安全运维管理:对系统的日常运维管理要求,包括环境管理、资产管理、监控管理、安全事件处置等方面。
