网络安全等级保护测试评估技术基本最常见的表现形式,就是网络安全测评机构在做等级测评时,对信息系统进行的所谓“渗透测试”部分的工作内容。
当然,这个工作理解成是测评机构的专有工作是有点偏颇的,也可以作为主管部门级运营使用单位对等级保护对象安全等级保护状况开展评估参考。
换句话说,其实等级保护相关的标准,基本上都是适用于监管部门、网络运营者、测评机构以至于网络安全服务商,因为各方的工作最终都是面向网络安全等级保护对象,使之不断提升安全。只是各自承担的角色不同,网络运营者作为建设者,自然承担最多的责任;监管机关承担相应的监管责任,而网络安全服务商则需要承担所有技术环节以及过程成果,测评机构则是全面对等级保护对象进行测试评估。最终各方在适用国家标准过程中,理论上是得出一个一致或相近的结果,才是正确的行使了相应的国家标准。
参考文献:
- 《信息安全技术 网络安全等级保护测试评估技术指南》
最新评论