① 如何申請 信息安全等級保護檢測資質
信息安全等級保護的辦理流程:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
上海《網路安全等級保護測評機構推薦證書》在上海網路測評管理認證中心辦理。根據上海網路管理局公示得知,辦理《網路安全等級保護測評機構推薦證書》時攜帶相關證明材料及自身身份證明材料到當地的上海網路測評管理認證中心進行辦理即可。
③ 等級保護測評,哪裡可以幫忙辦
可以辦理的,等級保護測評的辦理流程:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
辦理等級保護測評的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。落實個人及單位的網路安全保護義務,合理規避風險。
④ 等級保護測評機構名單有哪些
國家對等級保護測評機構要求是很嚴苛的,要滿足至少3個方面的要求:
1、該機構要有不低於15名以上的專業測評技術人員,且該機構測評技術人員必須持有《網路安全等級保護測評師》證書
2:該機構要有固定的辦公地點,且在工商局注冊
3:也是最重要的一點,該機構必須持有《網路安全等級保護測評機構推薦證書》且證書國家承認有效,例如時代新威——等保測評機構,證書編號:DJCP2019110192。
現在做等級保護的測評機構全國211家,有一些開展業務的機構並沒有等保測評資質。請大家一定要注意啦!最後的測評報告一定要測評機構蓋章。大家可去網路安全等級保護網——全國網路安全等級保護測評機構推薦目錄進行查看。
⑤ 等級保護常見問題和解答
答:等級保護是公安部第三研究為響應國務院147號令而牽頭制定的信息安全標准和規范,全稱《信息安全等級保護》。等級保護截止目前為止分為兩個版本,等級保護1.0和等級保護2.0,基本內容要求分別參考GB/T 22239-2008和GB/T 22239-2019,由此可見等級保護1.0是從2008年開始實施的,而等級保護2.0是從2019年開始實施的。
等保2.0之後都是由專家進行定級,也就是在當地公安網監部門進行等保備案的時候進行定級評估。一般遵循如下原則:
答:等保的指標項參考基本要求項GBT 22239和測評項 GBT 28448;原則上可以通過配置和自身調整實現的基本要求項和測評項就不需要額外購買軟硬體來彌補,如果實在消耗人力和資源過大和無法通過自身資源調整實現,那最快最使用的方式就是購買第三方軟硬體和服務來實現該項的要求。
答:等級保護的范圍是全國所有非涉密系統,無論系統在內網還是互聯網,都需要做等保。
答:等級保護是以信息系統為整體,而不是以公司或部門。
比如有一個公司有10個信息系統,那麼除去不重要的,還有5個。
a、有兩個信息系統之間存在較多的數據之間的交互,則可以以一個整體做等保;
b、如有較少的數據交互或不存在交互,則建議單獨定級。
答:等保二級每兩年一次,沒有明確的標准說明,一般都是建議每兩年做一次。
等保三級每年都需做一次,參考見《信息安全等級保護管理辦法》(公通字[2007]43號),又稱43號文第十四條明確規定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行網路安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
如果你的信息系統沒做等保,那被攻擊了,造成一定影響了,首先是你沒履行網路安全義務,其次是黑客犯法,兩者都將收到嚴懲。
關鍵信息基礎設施簡稱「關保」,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
等級保護與關鍵信息基礎設施保護的區別在於,「關保」是在網路安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前「關保」的基本要求、測評指南、高風險判例等均已完成,相關工作已啟動。等保的受眾范圍比關保要廣泛,通常要做關保建設的主體都要做等保建設,而要做等保建設的不一定要做關保建設,關保建設是針對重要行業和領域的,是基於等保之上進行重點保護的。
《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
等級保護工作是保障我國網路安全的基本動作,目前各單位需按照所在行業及保護對象重要程度,依據網路安全法及相關部門要求,按照「同步規劃、同步建設、同步使用」的原則,開展等級保護工作。
一個二級或三級的系統整體持續周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。
小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
等級保護工作屬於屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標准。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
等級保護採用備案與測評機制而非認證機制,不存在包過的說法,盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作。
測評後無合格證書。等級保護採用備案與測評機制而非認證機制,在屬地網安備案後可獲得《信息系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的「測評報告(至少要加蓋測評機構公章和測評專用章)」。
全國各省網警管理有所差異,一般提交備案流程後,如資料完備,順利通過審核後15個工作日即可拿到備案證明。
等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。
不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統。同一單位的業務系統,如確實經過改造,入口、後台、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網路安全等級保護定級指南》要求可以算作一個系統。
選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網路安全等級保護網( djbh.net )的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
等級保護涉及面廣,相關的安全標准、規范、指南還有很多正在編制或修訂中。常用的規范標准包括但不限於如下:
不是。等級保護測評結論為「差」,表示目前該信息系統存在高危風險或整體安全性較差,沒有達到相應標准要求。但是這並不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標准,需要抓緊整改。
一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
要做。業務上雲有多種情況,如在公有雲、私有雲、專有雲等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網路運營者的安全責任不會轉移。根據「誰運營誰負責、誰使用誰負責、誰主管誰負責」的原則,應承擔網路安全責任進行等級保護工作。
很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標准只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但是,安全是一個動態而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此,要通過等級保護測評工作開展,以「一個中心、三重防護」好「三化六防」等為指導,不斷提升網路攻防能力。
首先,等保的每隔一段時間進行評測的,是一個持續不斷的過程;即使投機取巧今年過了,明年後年也還是要進行測評的。
其次,並沒有要求一定要自己購買,只需要提供有相關的服務證明即可,租賃合同也可以的。
首先聲明等保是沒有明文規定要求去購買第三方軟體和硬體的,第三方的軟體和硬體只是作為補償措施;在應用系統本身無法都滿足等保要求的情況下,可以藉助一些補償措施來彌補應用系統上的不足,讓應用系統符合等級保護測評項的相關要求。
漏洞掃描: 基本所有級別的等保都建議要進行漏洞掃描
滲透測試: 三級等保要求必須做,二級等保雖然不是強制要求但是首次進行等保建設還是建議先做一次的。
基線核查: 並非等保要求,但是方便去整改;如果在測評之前做了基線核查工作,那麼整改起來也會方便很多。
最快也得一周,具體看當地網監部門的審核進度。
⑥ 上海《網路安全等級保護測評機構推薦證書》哪裡辦
上海網路測評管理認證中心。根據上海網路管理局公示得知,辦理《網路安全等級保護測評機構推薦證書》是需要攜帶相關證明材料及自身身份證明材料到當地的上海網路測評管理認證中心進行辦理即可。
⑦ 有沒有詳細的網路安全等級保護流程介紹謝謝了。
開展網路安全等級保護工作的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。具體細節:
定級階段:
網路運營者確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
備案階段:
第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時,在明確安全保護等級後需在10個工作日內,到縣級以上機關備案,提交相關材料。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略,制定網路安全建設整改方案
根據網路安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
注意:全國各地區政策不一樣,以實際情況為准。
等級測評階段:
網路安全等級保護測評過程分為4個基本活動:測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。
監督檢查階段:
每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,機關可以委託社會力量提供技術支持。
以上都是摘自時代新威官網,裡面等保干貨非常多,解釋更加規范、准確。
⑧ 等保2.0里規定:測評機構的選擇符合國家有關規定,請問具體有關規定是什麼規定
看有沒有等保測評資質就完事了。
⑨ 如何申請信息安全等級保護檢測資質
申請等保測評機構的單位應該具備這些條件:
(一)在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
(二)產權關系明晰,注冊資金 500 萬元以上,獨立經營核算,無違法違規記錄;
(三)從事網路安全服務兩年以上,具備一定的網路安全檢測評估能力;
(四)法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
(五)具有網路安全相關工作經歷的技術和管理人員不少於 15 人,專職滲透測試人員不少於 2 人,崗位職責清晰,且人員相對穩定;
(六)具有固定的辦公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
(七)具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
(八)不涉及網路安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
(九)應具備的其他條件。
初步申請通過後,申請成為等保測評機構的單位還要接受復審,主要是對測評師的要求,比如申請單位應至少有 15人獲得測評師證書,其中高級測評師不少於 1 人,中級測評師不少於 5 人。對於滿足申請條件,且通過復審的單位,等保辦會頒發《網路安全等級保護測評機構推薦證書》。
同時,等保辦會於每年 12 月份對所推薦測評機構進行年審。年審通過的,等保辦在推薦證書副本上加蓋等級保護專用章或等保辦印章,發放測評師注冊標識。年審未通過的,等保辦會責令測評機構限期整改。拒不整改或整改不符合要求的,測評機構的等級測評業務會被暫停。
此外,等保測評推薦證書並不是永久性的。測評機構推薦證書有效期為三年,測評機構應在推薦證書期滿前 30 日內,向等保辦申請期滿復審。
最後,省級以上等保辦會對測評機構和測評業務開展情況進行監督、檢查、指導。國家等保辦每年組織對測評機構及測評活動開展監督抽查。測評項目實施過程中,測評機構應接受被測網路備案公安機關的監督、檢查和指導。
⑩ 請問等保三級多久測評一次時間長嗎
四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標准要求,如電力行業明確二級系統兩年做一次測評。
以北京市為例,等保備案准備階段,若雙方配合度高,材料編制與專家評審會的准備為10個工作日左右;等保備案材料提交准備的時間在3個工作日左右;等保測評的開展需35個工作日左右,最後提交測評報告以及審核階段,在網安接受材料後,以網安下發實際備案證明時間為准。值得注意的是:在全過程中,需要企業進行安全建設整改,具體時間以各企業實際情況為准。
想要快速完成等保測評全流程有五大關鍵要素,在此分享給廣大網路運營者參考。即優選測評機構、系統合理定級、准備工作充分、及時跟進流程、關鍵路徑並進。
01 優選測評機構
選擇測評機構時應盡量選取企業所在地的測評機構,綜合考慮其公司資質與技術能力,如測評公司具有的資質、各等級測評師人員數量、在市場中的口碑、被測評企業所屬行業的測評案例等。同時明確提出本次測評的工期要求與項目預算,並採取邀請招標或公開招標的方式選擇最優的測評機構。例如北京市選擇中國信息安全測評中心、北京時代新威等有《網路安全等級保護測評機構推薦證書》的專業測評機構。
02 系統合理定級
系統定級是等保測評的第一步,無論是在建系統或已建系統,合理定級是關鍵,應參照「定級過低不允許、定級過高不可取」的原則來定級。定級完成後需由安全專家與業務專家共同對定級報告中涉及的系統業務描述、業務網路拓撲、業務受影響的風險分析進行專家評審並形成書面專家評審意見。最後定級報告與專家評審意見需上傳到公安網警的等級保護備案系統中。
03 准備工作充分
做好大量的准備工作是快速完成等保測評的先決條件。從業務系統的全生命周期角度來看,需要具備項目立項、需求說明、實施方案、驗收標准、人員組織、管理制度等過程環節資料。特別是網路安全方面,需要有網路安全的設計方案、建設實施方案、安全策略及安全檢測規范、安全運營管理制度及安全建設運營過程文檔(如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等)。針對規模大或重要性要求高的業務系統其建設設計方案、安全保障方案需要聘請外部專家進行專家評審並形成書面專家評審意見。
04 及時跟進流程
企業在公共信息網路安全綜合管理系統填報前應授權一位負責人,並由其跟進後續備案資料收集與文檔掃描、系統填寫與資料上傳,同時關注審核反饋信息及時提交補充資料和修訂資料。及時關注審核結果、獲取備案證明及線下提交測評報告。此過程中,遇到問題應及時反饋給上級領導,並協調資源推進等級保護備案流程。
05 關鍵路徑並進
加快項目進度一般可採取加班與並行趕工的方式,但前提是需要一名優秀的項目經理來分解項目實施步驟,識別並規劃關鍵實施路徑,把控管理項目實施過程風險。等級保護測評過程主要可並行的環節有商務洽談與技術實施、系統建設與安全檢測、系統測評與整改復測。