什么软件需要做等级保护测评
等保中没有指定哪些特定软件需要进行等级保护测评,但是建议软件开发商对所开发的软件涉及一些网络安全要求严格的行业建议进行等级测评,特别是涉及教育、金融、交通、医疗、电力、政府或者信息基础设施的相关的需要进行等级保护测评,因为根据《网络安全法》相关规定未履行网络安全保护义务的网络运营商需要受到处罚,所以软件开发商可以结合软件整体运行环境或者借助第三方进行等级测评评估来决定是否进行等级测评。
软件等级保护测评流程:
测评准备活动:测评准备活动的目标是顺利启动测评项目,收集定级对象相关资料,准备测评所需资料,为编制测评方案打下良好的基础。测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务。
方案编制活动:方案编制活动的目标是整理测评准备活动中获取的定级对象相关资料,为现场测评活动提供最基本的文档和指导方案。方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制六项主要任务。
现场测评活动:现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,依据测评方案实施现场测评工作,将测评方案和测评方法等内容具体落实到现场测评活动中。现场测评工作应取得报告编制活动所需的、足够的证据和资料。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。
报告编制活动:在现场测评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。测评人员在初步判定单项测评结果后,还需进行单元测评结果判定、整体测评、系统安全保障评估,经过整体测评后,有的单项测评结果可能会有所变化,需进一步修订单项测评结果,而后针对安全问题进行风险评估,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险评估、等级测评结论形成及测评报告编制七项主要任务。