网络安全等级保护评估机构业务范围和工作需求及风险控制

实施有方的主管可助力于落实更高一层次的安全防护措施，其实是非常有必要的。

测评机构除了从事等级测评活动，还可以从事网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护宣传教育等工作的技术支持，以及风险评估、网络安全培训、应急保障、安全运维、网络安全咨询和网络安全工程监理等工作。

测评机构开展测评的项目不受地域、行业限制。等级测评机构应在测评项目合同签订及项目完成后5个工作日内，向受理网络备案的公安机关报告等级测评项目的有关情况。

测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。测评项目完成后，等级测评机构应请被测评网络运营者对测评服务情况进行评价，评价情况由被测评单位反馈至等保办。等级测评机构应定期向等保办报送测评工作开展情况。根据安全生产测评活动的实践，于每年年底之前编制并报送第一季度的网络安全风险状况调查研究分析报告。

等级测评过程中可能存在以下风险。

1．网络敏感信息泄露

泄漏被检测单位网络状态信息，例如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。

2．验证测试可能会对网络运行造成影响

在现场进行测评时，需要对设备和网络进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对网络的运行造成一定的影响，甚至存在误操作的可能。

3．工具测试可能会对网络运行造成影响

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对网络的负载造成一定的影响，漏洞扫描测试和渗透测试可能会对服务器和网络通信造成一定的影响甚至伤害。因此，在进行网络安全测试时，应尽量避免使用这些方法。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!