『壹』 信息系統的信息安全等級保護的測評是必須的嗎有沒有專門的出台了法律法規監管細則規范了這件事
1、能不能自己測評要看你的等級保護備案時的級別,2級以上都要公安部門和上級主管部門測評的。
2、等保很多要求標准在不斷修改中,建議在對自己的信息安全整改過程中,引入有資質的第三方,這樣會比較容易些。 二級及以下可以自己測評,也可以不做測評。3級以上必須經過測評。
《信息安全等級保護管理辦法》第十四條第一款規定: 信息系統安全保護等級為第三級的信息系統應當每年至少進行一次等級測評。
『貳』 等級保護三級高,還是二級高
三級比二級高。
《信息安全等級保護管理辦法》:信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度,分為五級。其中第三級屬於「監管級別」,由國家信息安全監管部門進行監督、檢查。
三級是國家對非銀行機構的最高級認證,屬於「監管級別」,由國家信息安全監管部門進行監督、檢查,認證需要測評內容涵蓋等級保護安全技術要求5個層面和安全管理要求的5個層面,主要包含信息保護、安全審計、通信保密等在內的近300項要求,共涉及測評分類73類,要求十分嚴格。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
以上內容參考:網路-信息安全等級保護管理辦法
網路安全等級2.0是出自《網路安全法和網路安全等級保護2.0》,是2017年電子工業出版社出版的圖書,作者是夏冰。
主要是分網路安全法和網路安全兩個方面,安全法說的是以國家、網路運營者、公民個人等角色的網路安全義務和責任,將原來散見於各種法規、規章中的網路安全規定上升到人大法律層面,並對網路運營者等主體的法律義務和責任的規定。
網路安全,是對互聯網信息系統分級實施保護,在網路安全等級保護基礎上,重點保護關鍵信息基礎設施,能夠有效地提高某個人或某企業的互聯網資料的安全措施,從分級和分層的角度上來說,而達到的一種更為安全的級別,它包含不局限於網路設備(硬體)、網路維護人員、互聯網安全防護軟體以及其它安全防護錯誤等。
『肆』 誰知道問二甲評審中的網路安全等二級是什麼意思
網路安全等二級技術准備清單(2級系統)
總體准備:
系統網路拓撲圖,要求與實際系統一致,及時更新
上機檢查(抽查):核心網路設備(交換機、路由、防火牆)、伺服器主機
檢查重點:
身份鑒別:復雜度,唯一性,非法登錄次數,超時處理措施
訪問控制:網路邊界部署訪問控制設備,控制粒度:網段級、單個用戶,修改默認賬戶,刪除多餘過期賬戶,許可權分離,最小許可權原則,盡量避免Telnet,限制登錄網路設備網段
入侵防範:網路層:網路邊界處監視以下攻擊行為:埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等。
主機:最小安裝(包括系統服務)的原則,及時更新。
安全審計:網路設備運行狀況、網路流量、用戶行為等進行日誌記錄;內容:事件日期、時間、發起者信息、類型、描述和結果等,審計記錄無法刪除、修改或覆蓋。
惡意代碼防範:及時更新,統一管理(規定和記錄)
備份和恢復:對重要信息進行備份,關鍵網路設備、通信線路和數據處理系統硬體冗餘
應用系統容錯性:輸入有效性檢查:數據格式或長度,故障和恢復
相關記錄*
設備運行情況記錄,定期維護核查記錄、更新升級記錄、備份和介質管理記錄、安全事件記錄等。
文檔准備清單(G2管理)
總體性工作文件:信息安全等級保護工作的文件、信息安全工作規劃或實施方案
書面明確安全管理機構(信息安全領導小組,責任部門,人員),落實信息安全責任
信息安全建設規劃(按照國家標准或行業標准建設安全設施,落實安全措施,行業、部門信息安全等級保護行業標准規范)
定級、備案材料(新建信息系統是否在規劃、設計階段確定安全保護等級並備案)
基本安全管理制度
□機房安全管理制度
□網路安全管理制度
□系統運行維護管理制度
□系統安全風險管理制度
□資產和設備管理制度
□數據及信息安全管理制度
□用戶管理制度
□備份與恢復管理制度
□密碼管理制度
□安全審計管理制度
□崗位和人員管理制度
□技術測評管理制度(包括監督措施)
□信息安全產品采購、使用管理制度
□安全事件報告和處置管理制度,信息系統安全應急處置預案
□教育培訓制度
□自查和整改的規定
崗位職責說明書、責任承諾書□系統管理員 □網路管理員 □安全管理員 □安全審計員
記錄文件:
□定期組織開展應急處置演練
□定期開展信息安全知識和技能培訓
□自查和整改的方案和記錄
(□等級測評監督記錄)
資質證明:
信息安全產品、生產單位相關證明:
□產品生產單位營業執照
□產品版權或專利證書
□產品或生產單位的相關聲明或證明材料
□計算機信息系統安全專用產品銷售許可證
(國外信息安全產品的,是否經主管部門批准,並請有關單位對產品進行專門技術檢測)
測評機構相關證明:
□營業執照、聲明、證明及資質材料等
□保密協議
□技術檢測方案
□檢測報告
□安全整改
物理准備清單(2級)
文檔准備:
機房工程驗收文件
機房出入記錄表
巡檢記錄、溫濕度記錄表
來訪人員進入機房的規定、審批流程和記錄
防盜報警系統驗收報告
避雷裝置驗收報告
(火災自動報警系統等其他防護系統的驗收報告、停電等事件記錄、定期核查維護記錄等)
硬體及人員:
專人值守
主要設備放置在機房內,並固定,有標識
通信線纜鋪設在隱蔽處,地板下,管道內
介質分類標識,單獨存儲
防盜報警系統
避雷裝置,地線
滅火設備和火災自動報警系統
接地防靜電措施
溫、濕度自動調節設施,溫濕度可監控
穩壓器和過電壓防護設備
備用電力供應,供電時間
『伍』 什麼是網路安全等級保護啊
你好,網路安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網路安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構,依據《信息安全技術網路安全等級保護基本要求》等技術標准,定期對信息系統開展測評工作。
《網路安全法》 明確規定信息系統運營、使用單位應當按照網路安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。下面是網路安全等級保護等級劃分及適用行業說明:
第一級(自主保護級):一般適用於小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統。信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用於縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網路系統等。 信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用於國家重要領域、重要部門中的極端重要系統。信息系統受到破壞後,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級准則和等級劃分。
最後,二級及以上的信息系統都需要進行等級測評,且等級測評並不是做一次就可以,二級系統每兩年至少進行一次測評,三級系統每年至少進行一次測評,四級系統每半年至少進行一次測評。
測評周期
『陸』 信息安全等級保護二級的認證(等保二級)的流程
有五個步驟,定級、備案、整改、測評、檢查
針對要測評的系統,到網安要定級報告模板和備案表,編制定級報告,填寫備案表,然後交網安部門,這就是定級備案兩個動作。
根據等級保護基本要求的2級要求項,對系統進行整改,讓系統能符合這些要求。這是整改。
委託公安部認可的等級保護測評機構進行測評,出具測評報告,交網安。
網安檢查。
其實,可以一開始就找測評機構,讓他們幫你從頭做,畢竟他們是專業的。
『柒』 廣州本地的網路安全服務商,可以做等級保護二級評測的,麻煩推薦一下
可以辦理的,等級保護二級測評流程是:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
備註:這個辦理幾級是根據專家判斷來定;
『捌』 阿里雲等保測評服務怎麼樣呢,三級等保測評和二級等保測評有什麼區別呢
三級等保測評是每年一次,二級等保測評是兩年一次。
等級保護分為五個級別:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例