❶ 等保2.0里規定:測評機構的選擇符合國家有關規定,請問具體有關規定是什麼規定
看有沒有等保測評資質就完事了。
❷ 請介紹一些廣東地區的軟體評測機構,並比較一下他們
比較權威的評測機構:賽寶軟體評測中心、中國軟體評測中心(深圳)、廣東省軟體檢測(評 測)服務中心
賽寶軟體評測中心(軟體質量工程研究中心)成立於1998年,經過10多年的發展,擁有了完善的軟體測評實驗室質量管理體系和卓越的軟體測評能力,在軟體產品檢測和質量檢驗方面積累了豐富的經驗,同時也與各級政府、企事業單位和軟體企業等信息化建設單位和信息化用戶建立了長期穩定的合作關系,並出色的完成了近萬項各種類別的軟體測試項目,業務范圍涉及電子政務、通訊、金融、證券、交通、核工業、電力、醫療等多個領域。
擁有資質:
中國合格評定國家認可委員會(CNAS)認可的實驗室
中國國家認證認可監督管理委員會批準的計量認證實驗室
部授權的軟體產品檢測機構
廣東省質量技術監督局授權的「廣東省軟體產品質量監督檢驗站」
廣東省信息產業廳指定的「雙軟認定」軟體產品檢測機構
廣東省科委認可的廣東省科技新產品成果鑒定檢測機構
中國人民銀行信息化建設項目第三方測試機構
公安部信息安全等級保護推薦測評機構
廣東省公安廳備案的信息安全等級測評機構
廣東省計算機信息系統安全服務等級證(二級)
廣州市財政投資信息化項目驗收測評機構
國防武器裝備科研生產單位一級保密資格單位
檢測范圍:產品登記測試、產品確認測試、產品鑒定測試、安全性測試、集成項目驗收測試、信息工程測試、質量改進測試、性能專項測試、性能優化測試、網路游戲專項測試、信息安全等級保護測試、信息安全產品檢測、工程定型測試。
中國軟體評測中心始終致力於軟體工程、質量管理、軟體系統測試、信息系統集成資質認證、ISO9000認證咨詢、CMMI認證咨詢、信息系統工程監理、信息系統驗收評估等領域的研究與實踐。至今,中國軟體評測中心已承擔大型信息系統工程驗收監理項目百餘類;商品化軟體測試千餘件。同時,受業主單位委託,CSTC依據國家有關法律法規、技術標准和信息系統工程監理合同,對信息系統工程項目的新建、升級和改造實施監理。
服務:行業測試、產品測試、軟體測試、電子政務行業測試、硬體與網路安全測試、信息安全評測、電子政務評估、資質認證、信息工程監理、信息工程咨詢、弱電網路監理、培訓、咨詢
廣東軟體檢測(評測)服務中心,是廣州聖格科技咨詢公司與國家工信部指定第三方軟體檢測(評測)機構合作。主要從事軟體產品登記檢測、雙軟企業認定、軟體科技成果鑒定測試、科技項目驗收測試、計算機軟體著作權登記、高新技術企業認定、計算機系統集成資質認證、ISO認證、ISO20000認、CMM認證、ISMS信息安全認證的專業服務機構。是工業和信息化部指定的進行「雙軟認定、軟體產品檢測」的檢測機構之一,以及國家標准制定單位。實行方便快捷的遠程軟體檢測(評測)方式。並通過了中國合格評定國家認可委員會(CNAS)認可,保證了測試能力成熟度,能出具的檢測報告具有權威性和法律效力的檢測機構。廣州聖格科技咨詢有限公司/廣東軟體檢測(評測)服務中心形成覆蓋全國的軟體檢測服務體系。中心自成立以來,已成功為數千家用戶提供服務,用戶遍布通信、廣電、金融、石油石化、公安、生產製造等行業。
主要業務:提供雙軟認定、軟體產品登記、軟體產品檢測、軟體著作權登記、計算機系統集成資質認證等多項服務,擁有獨立的技術支撐和質量保證部門以及其他相關管理部門,能夠有效保證服務工作的優質高效。
如其發表個人比較觀點,還不如請閣下按照需求來判定選擇哪一家機構,更為合理。
❸ 國家安全等級劃分方法,定級對象
2018年6月27日,公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」),標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條,包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系,《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善,適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,標志著等級保護正式邁入2.0時代。
《等保條例》的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體系的核心規定,其法律效力為部門規范性文件。另根據《管理辦法》第一條規定,其制定依據為國務院行政法規《計算機信息系統安全保護條例》。
《等保條例》雖尚在徵求意見稿階段,根據《行政法規制定程序條例》第五條,行政法規的名稱一般稱「條例」,國務院各部門和地方人民政府制定的規章不得稱「條例」,因此,《等保條例》應當屬於行政法規范疇。此外,《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。
綜上可知,《管理辦法》為依據行政法規制定的部門規范性文件,而《等保條例》則屬於依據國家法律制定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。
等級保護的適用范圍
對於適用范圍,《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路,開展網路安全等級保護以及監督管理工作,而個人及家庭自建自用的網路除外,內容較為簡略。2018年1月19日,全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍,主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外,作為定級對象的網路還應當滿足三個基本特徵:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對於工業控制系統,應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網路傳輸和處理應用等多種特徵因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似,應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。
網路等級
《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格:
網路安全保護義務
《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。
對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網路運營者還應:一、建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度,制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外,還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度,同時定期開展等級測評工作。
對於網路產品和服務采購,網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務,第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務,對重要部位使用的網路產品,還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定,因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。
對於應急預案的制定,第三級以上網路的運營者應當按照國家有關規定,制定網路安全應急預案,定期開展網路安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》,報告網路安全事件信息時,還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。
網路安全保護要求
近年來,隨著人工智慧、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始制定2.0標准,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求,而等保2.0標准更適應當前網路安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。
❹ 等保測評公司名單有知道的嗎比較專業點的介紹一下
等保測評機構應具備有效的《網路安全等級保護測評機構推薦證書》,同時測評機構及其人員應當遵守國家有關法律法規,依據國家有關技術標准和本規范的相關規定,開展客觀、公正、安全的測評服務。
舉例來說國家等保辦推薦測評機構時代新威,證書編號:DJCP2019110192。網路安全國家標准編製成員單位。作為全國信息安全標准化技術委員會(TC260)委員單位之一的時代新威,實際主持參與了第一個信息安全管理體系國家標准「GB/T19716信息安全管理實用規則」編制工作;陸續參與了「GB/T19715信息技術安全管理指南」、「GB/T22080信息安全管理體系要求」等十幾項國家標準的編制。在等保行業裡面算是具有代表性了。
❺ 等級保護測評機構名單有哪些
國家對等級保護測評機構要求是很嚴苛的,要滿足至少3個方面的要求:
1、該機構要有不低於15名以上的專業測評技術人員,且該機構測評技術人員必須持有《網路安全等級保護測評師》證書
2:該機構要有固定的辦公地點,且在工商局注冊
3:也是最重要的一點,該機構必須持有《網路安全等級保護測評機構推薦證書》且證書國家承認有效,例如時代新威——等保測評機構,證書編號:DJCP2019110192。
現在做等級保護的測評機構全國211家,有一些開展業務的機構並沒有等保測評資質。請大家一定要注意啦!最後的測評報告一定要測評機構蓋章。大家可去網路安全等級保護網——全國網路安全等級保護測評機構推薦目錄進行查看。
❻ 等級保護常見問題和解答
答:等級保護是公安部第三研究為響應國務院147號令而牽頭制定的信息安全標准和規范,全稱《信息安全等級保護》。等級保護截止目前為止分為兩個版本,等級保護1.0和等級保護2.0,基本內容要求分別參考GB/T 22239-2008和GB/T 22239-2019,由此可見等級保護1.0是從2008年開始實施的,而等級保護2.0是從2019年開始實施的。
等保2.0之後都是由專家進行定級,也就是在當地公安網監部門進行等保備案的時候進行定級評估。一般遵循如下原則:
答:等保的指標項參考基本要求項GBT 22239和測評項 GBT 28448;原則上可以通過配置和自身調整實現的基本要求項和測評項就不需要額外購買軟硬體來彌補,如果實在消耗人力和資源過大和無法通過自身資源調整實現,那最快最使用的方式就是購買第三方軟硬體和服務來實現該項的要求。
答:等級保護的范圍是全國所有非涉密系統,無論系統在內網還是互聯網,都需要做等保。
答:等級保護是以信息系統為整體,而不是以公司或部門。
比如有一個公司有10個信息系統,那麼除去不重要的,還有5個。
a、有兩個信息系統之間存在較多的數據之間的交互,則可以以一個整體做等保;
b、如有較少的數據交互或不存在交互,則建議單獨定級。
答:等保二級每兩年一次,沒有明確的標准說明,一般都是建議每兩年做一次。
等保三級每年都需做一次,參考見《信息安全等級保護管理辦法》(公通字[2007]43號),又稱43號文第十四條明確規定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行網路安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
如果你的信息系統沒做等保,那被攻擊了,造成一定影響了,首先是你沒履行網路安全義務,其次是黑客犯法,兩者都將收到嚴懲。
關鍵信息基礎設施簡稱「關保」,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
等級保護與關鍵信息基礎設施保護的區別在於,「關保」是在網路安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前「關保」的基本要求、測評指南、高風險判例等均已完成,相關工作已啟動。等保的受眾范圍比關保要廣泛,通常要做關保建設的主體都要做等保建設,而要做等保建設的不一定要做關保建設,關保建設是針對重要行業和領域的,是基於等保之上進行重點保護的。
《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
等級保護工作是保障我國網路安全的基本動作,目前各單位需按照所在行業及保護對象重要程度,依據網路安全法及相關部門要求,按照「同步規劃、同步建設、同步使用」的原則,開展等級保護工作。
一個二級或三級的系統整體持續周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。
小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
等級保護工作屬於屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標准。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
等級保護採用備案與測評機制而非認證機制,不存在包過的說法,盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作。
測評後無合格證書。等級保護採用備案與測評機制而非認證機制,在屬地網安備案後可獲得《信息系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的「測評報告(至少要加蓋測評機構公章和測評專用章)」。
全國各省網警管理有所差異,一般提交備案流程後,如資料完備,順利通過審核後15個工作日即可拿到備案證明。
等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。
不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統。同一單位的業務系統,如確實經過改造,入口、後台、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網路安全等級保護定級指南》要求可以算作一個系統。
選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網路安全等級保護網( djbh.net )的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
等級保護涉及面廣,相關的安全標准、規范、指南還有很多正在編制或修訂中。常用的規范標准包括但不限於如下:
不是。等級保護測評結論為「差」,表示目前該信息系統存在高危風險或整體安全性較差,沒有達到相應標准要求。但是這並不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標准,需要抓緊整改。
一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
要做。業務上雲有多種情況,如在公有雲、私有雲、專有雲等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網路運營者的安全責任不會轉移。根據「誰運營誰負責、誰使用誰負責、誰主管誰負責」的原則,應承擔網路安全責任進行等級保護工作。
很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標准只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但是,安全是一個動態而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此,要通過等級保護測評工作開展,以「一個中心、三重防護」好「三化六防」等為指導,不斷提升網路攻防能力。
首先,等保的每隔一段時間進行評測的,是一個持續不斷的過程;即使投機取巧今年過了,明年後年也還是要進行測評的。
其次,並沒有要求一定要自己購買,只需要提供有相關的服務證明即可,租賃合同也可以的。
首先聲明等保是沒有明文規定要求去購買第三方軟體和硬體的,第三方的軟體和硬體只是作為補償措施;在應用系統本身無法都滿足等保要求的情況下,可以藉助一些補償措施來彌補應用系統上的不足,讓應用系統符合等級保護測評項的相關要求。
漏洞掃描: 基本所有級別的等保都建議要進行漏洞掃描
滲透測試: 三級等保要求必須做,二級等保雖然不是強制要求但是首次進行等保建設還是建議先做一次的。
基線核查: 並非等保要求,但是方便去整改;如果在測評之前做了基線核查工作,那麼整改起來也會方便很多。
最快也得一周,具體看當地網監部門的審核進度。
❼ 參與網路安全審查的相關機構
參與網路安全審查的相關機構有當地的公安網路審查辦公室,當地的網路宣傳辦公室,國家網路監管局,各個平台的審查
❽ 天津有哪幾家公司或機構可以做「信息安全等級保護評級"
天津優揚科技是座落在濱海信息安全產業園的專業做等保的公安認定的測評機構,天津有三家,是國家認證的,聖目、優揚和先特,以供參考
❾ 全國的信息安全等級保護測評機構有哪幾家不錯的
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作。
測評機構指具備規范的基本條件,經能力評估和審核,由省級以上信息安全等級保護工作協調(領導)小組辦公室推薦,從事等級測評工作的機構。
提供部分測評中心機構名單:
