2018年1月11日报道:近期,四川省公安厅网安总队(省等保办)对四川省部分网络安全测评项目进行了抽查复审,现将抽查结果及相关处理决定通报如下:
成都久信信息技术股份有限公司在测评工作中将不属于被测评单位资产作为测评对象,捏造测评报告;在未进行认真技术测试和调查访谈的情况下做出测评结论,严重误导被测评单位,导致被测评网站网络安全防护形同虚设。经总队研究,决定予以停业整顿6个月的处理决定,整改时间自2017年12月18日至2018年6月30日,整改期间暂停所有测评业务,2018年全年不得从事三级及以上信息系统测评业务;
成都安美勤信息技术服务有限公司的测评报告和现实情况严重不符,测评分数虚高,使得一些本应当提前可以修复的网络安全隐患漏洞没有得到有效处置,导致省卫计委网站被黑客攻击入侵后无法追踪溯源。经总队研究,决定予以停业整顿3个月的处理决定,整改时间自2017年12月18日至2018年3月31日,整改期间暂停所有测评业务。对上述两家公司负责现场技术和管理测评的4名测评师予以停止测评业务1年的处理决定。
1月18日报道:江苏省信息安全等级保护工作协调小组办公室(省等保办)对江苏国保信息系统测评中心有限公司存在测评严重质量问题的情况进行通报,该单位在无锡和泰州两地进行等级保护测评时部分项目存在严重质量问题,测评结果记录与测评实际情况不符,存在杜撰报告行为,江苏省等保办决定对江苏国保信息系统测评中心有限公司给予全省通报,责令其限期整改6个月,整改期满,经复审通过后,方可从事测评活动。
再往之前湖北省等保办已经对武汉明嘉信信息安全检测评估有限公司和武汉等保测评有限公司做出了限期整改的处罚决定,目前两家公司还在整改中。
所以我们在日常选择测评机构时一定要慎重,好的测评机构是帮助我们发现问题的,差的测评机构只是来出报告的,甚至帮我们掩埋问题的。等级保护测评不是一件标准件,它的质量和测评机构有着直接的关系。之前不得不等写过一篇文章:《如何选择一家合适的等保测评机构去做测评》。对测评机构的选择可以从以下几个维度进行判断:
1、测评机构技术人员实力。我们可以了解测评机构的高级测评师、中级测评师、初级测评师的数量以及测评师是否通过CIIP-T、CISP、CISSP等技术认证来判断一家测评机构是否有足够的人员和技术实力去完成项目;还可以从测评机构提交的一些资料,看看这些机构有没参加一些信息安全类的竞赛,有没获得过一些名次去判断他们的技术实力如何。
2、测评机构的资质。除了最基本的测评机构推荐证书,有没有CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等证书来判断该测评机构实力如何。
3、测评机构有没参加过一些重大政治活动的应急支撑或者运维保障。这个比较明显了,一般实力不够的,在这样的重大活动中相关主管部门是不敢把这样的事交给他们做的,如果他们都做过这些事,那么我们的测评交给他们是不是更放心点?另外测评机构有没有获得过一些荣誉、表彰,这也是一个因素;
4、测评机构的案例。测评机构做过的案例相对比较多,那么它积累的经验相对就丰富,技术人员经过的历练就比较多,相对来说技术人员在做项目时更得心应手些,项目质量就更好;
5、距离。测评机构离我们相对较近,服务起来会比较方便些,当然这不是绝对因素,一切以服务质量为前提,有些测评机构确实离我们很近,随叫随到,但是到了解决不了问题也不行。
所以选择一家合适的测评机构很重要。比如2017年11月由公安部网络安全保卫局和中国合格评定国家认可委员会指导开展的2017中关村信息安全测评联盟测评能力验证与攻防大赛,全国部分测评机构最终的能力验证结果是不满意,那么这样的单位即使没有被主管单位进行责令整改的,也应当慎重选择。