『壹』 網路二級等保備案證書出來後後期需要干什麼
等保 2.0 時代,開展網路安全等級保護工作的的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。
1. 定級
網路運營者依據《GB/T 22240-2020 信息安全技術 網路安全等級保護定級指南》,確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
在分別確定業務信息安全的安全等級和系統服務的安全等級後,由二者中較高級別確定等級保護對象的安全級別,如:
業務信息安全:第二級,系統服務:第三級,最終等級保護級別為:第三級;
業務信息安全:第四級,系統服務:第三級,最終等級保護級別為:第四級;
業務信息安全:第三級,系統服務:第三級,最終等級保護級別為:第三級。
2. 備案
第二級以上網路運營者在定級、撤銷或變更調整網路安全保護等級時,在明確安全保護等級後需在 10 個工作日內,到縣級以上公安機關備案,提交相關材料。公安機關應當對網路運營者提交的備案材料進行審核。對定級准確、備案材料符合要求的,應在 10 個工作日內出具網路安全等級保護備案證明。
3. 建設整改
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略,制定網路安全建設整改方案(安全建設方案經專家評審論證,三級以上報公安機關審核);
根據網路安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
4. 等級測評
網路安全等級保護測評過程分為 4 個基本活動:測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。
5. 監督檢查
公安機關對第三級以上網路運營者每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,公安機關可以委託社會力量提供技術支持。
『貳』 企業做等級保護整改,需要什麼資質
這個我不大了解,找了找,感覺是這三項,如果說錯了,見諒。
1、需要注冊兩年以上的公司,有相關安全行業從業經驗。
2、需要有10個通過公安部評估中心或同等機構認證的測評師。
3、填寫國家信息安全等級保護工作協調小組辦公室制訂的信息安全等級保護測評機構申請表,按照上面的流程進行申請。
『叄』 信息系統安全等級保護定級工作是一項什麼樣的工作需要做哪些工作
你好,我國實行網路安全等級保護制度,網路運營單位都要按要求落實等級保護工作。什麼是等級保護呢?簡而言之,就是對信息和信息載體按照重要性等級分級別進行保護。就我國目前的情況而言,信息和信息載體的保護等級分為五個級別,從一到五級別逐漸升高。網路運營單位的信息和信息載體屬於哪一個等級,就要按照這個等級的要求來做等級保護工作。
等級保護需要做哪些工作呢?
一般來說,等級保護工作包含定級、備案、安全建設、等級測評、監督檢查五個環節,下面我將依照等保2.0標准,對三級等保辦理流程做詳細解讀:
1、系統定級
等保辦理的第一步是確定企業信息系統的安全保護等級。根據等保2.0定級指南,雲計算、物聯網、工業控制系統、採用移動互聯技術的系統、通信網路設施以及數據資源等系統屬於強制定級備案的范疇。其他團體,比如公益組織和中小私營企業,原則上也要進行定級備案。
同時,根據相關規定,定級對象具有以下三大基本特徵:
①具有確定的主要安全責任主體;
②承載相對獨立的業務應用;
③包含相互關聯的多個資源。
如果企業的系統有以上特徵,那麼就算系統再小,也需要進行定級備案。簡而言之,互聯網上的系統差不多都要進行定級備案。
那麼,等保定級究竟怎麼定呢?根據等級保護相關管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對於關鍵信息基礎設施,「定級原則上不低於三級」,且第三級及以上信息系統每年或每半年就要進行一次測評。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
2、系統備案
根據《網路安全法》規定:
①已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內(等保2.0相關標准已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
②新建第二級以上信息系統,應當在投入運行後30日內(等保2.0相關標准已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
③隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。
④跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
企業最終確定保護對象的級別以後,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料:(一)系統拓撲結構及說明;(二)系統安全組織機構和管理制度;(三)系統安全保護設施設計實施方案或者改建實施方案;(四)系統使用的信息安全產品清單及其認證、銷售許可證明;(五)測評後符合系統安全保護等級的技術檢測評估報告;(六)信息系統安全保護等級專家評審意見;(七)主管部門審核批准信息系統安全保護等級的意見。
3、安全建設(整改)
等級保護整改是等保建設的其中一個環節,指按照等級保護建設要求,對信息和信息系統進行的網路安全升級,包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力,讓企業可以成功通過等級測評。
等級保護整改沒有什麼資質要求,只要公司可以按照等級保護要求來進行相關網路安全建設,由誰來實施,是沒有要求的。但由於目前企業網路安全人才緊缺,企業很多時候都需要尋找專業的網路安全服務公司來進行整改。
整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,對安全管理現狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要是指企業部署和購買能夠滿足等保要求的產品,比如網頁防篡改、流量監測、網路入侵監測產品等。
4、等級測評
等級測評指經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委託,按照有關管理規范和技術標准,對信息系統安全等級保護狀況進行檢測評估的活動。
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
二級及以上的信息系統都要做等級測評,且等級測評得分要在70分以上,並且沒有高風險項才算通過。等級測評結束後,測評機構會出具測評報告。企業需要把測評報告提交給公安機關,才算真正落實了等級保護工作。
5、監督檢查
企業要接受公安機關不定期的監督和檢查,對公安機關提出的問題予以改進。
『肆』 網路安全等級保護制度
關於網路安全等級的保護制度是:規范計算機系統安全建設和使用的標准以及管理辦法。安全工作的整個流程分為五個環節,包括定級、備案、建設整改、等級測評、監督檢查,網路安全等級保護制度是國家網路安全的基本制度、基本國策網路安全等級保護是黨中央、國務院決定在網路安全領域實施的基本國策。
法律依據
《中華人民共和國網路安全法》 第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
『伍』 等級保護工作開展的基本流程是什麼
一、系統定級階段
(一)責任人
? 各信息系統主管部門和運營使用單位
? 市信息辦安全中心
(二)工作內容和標准
1.各信息系統主管部門和運營使用單位應依據《信息安全等級保護管理辦法》及《信息系統安全等級保護定級指南(報批稿)》,自主確定系統等級。
2.可聘請專家對定級情況進行評審,出具評審意見;參照專家評審意見確定系統等級,形成定級報告。
3.市信息辦安全中心負責定級的咨詢服務工作(定級方法及流程),開通等級保護咨詢服務熱線。
(三)工作成果
? 專家評審意見
? 信息系統安全定級報告
二、系統定級備案階段
(一)責任人
? 信息系統主管部門和運營使用單位
? 市信息辦
? 各區縣信息辦
? 市電子政務等級保護專家組
(二)工作內容和標准
1.系統定級備案材料
? 《信息系統安全等級保護備案表》:單位基本情況、信息系統情況、信息系統定級情況、第三級以上信息系統提交材料情況;
? 備案電子數據:利用備案軟體生成的rar文件
2、系統定級備案材料的報送方式
? 《信息系統安全等級保護備案表》:通過公文交換報送至同級信息化主管部門;
? 備案電子數據:郵件發送(或由專人遞送)至同級信息化主管部門。
3、各區縣信息辦負責匯總所掌握的備案電子數據文件,每月月底前向市信息辦報送;
4、市信息辦接到備案材料及電子數據文件後,於10個工作日內完成材料審查,並對系統安全等級進行初步審核,如果:
? 接受備案,撰寫《信息系統安全保護等級備案情況復函》-A;
? 資料不全,撰寫《信息系統安全保護等級備案情況復函》-B;
? 明顯定級不準,提請市電子政務等級保護專家組進行再評審,同時撰寫《信息系統安全保護等級備案情況復函》-C,並正式復函備案信息系統主管部門和運營使用單位。
5、由市信息辦牽頭,成立市電子政務等級保護專家組,定期對備案明顯不準的系統進行再評審,並協調系統運營使用單位對系統級別進行調整。
(三)工作成果
? 《信息系統安全保護等級備案情況復函》-A
? 《信息系統安全保護等級備案情況復函》-B
? 《信息系統安全保護等級備案情況復函》-C
? 《XXXX信息系統定級專家評審意見》
三、評估和整改建設階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
? 市電子政務等級保護專家組
(二)工作內容和標准
1.信息系統運營使用單位負責系統的風險評估和整改建設工作, 重要信息系統的運營使用單位應將系統等級保護整改建設方案報市信息辦;
2.市信息辦安全處、安全中心負責等級保護咨詢工作,並推薦具有資質的風險評估實施單位、檢測機構以及安全服務公司。
3.市電子政務等級保護專家組,負責電子政務重要信息系統等級保護整改建設方案的評審工作。
(三)工作成果
? 等級保護整改建設方案;
? 整改建設方案的評審意見;
四、等級測評階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
(二)工作內容和標准
電子政務信息系統的運營使用單位應落實系統安全等級測評資金保障工作,同時開展等級測評工作。
? 二級系統應按照《信息安全等級保護管理辦法》的要求,由運營單位選擇有資質的測評機構開展等級測評,形成等級測評報告,上報同級信息化主管部門(市信息辦和區縣信息辦);
? 三級(及以上)系統的等級測評由市信息辦統一組織實施。
市信息辦安全中心負責跟蹤重要信息系統等級測評工作的進展。
(三)工作成果
? 《信息系統安全等級測評報告》;
? 重要信息系統等級測評工作的進展情況
五、監督檢查階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
(二)工作內容和標准
? 由市信息辦牽頭,會同相關部門,對市各委辦局信息系統(尤其是重要信息系統)等級保護制度的落實情況,每年進行一次聯合執法檢查;
? 對於本市重要的電子政務系統,市信息辦將分批用兩年的時間對所有重要的電子政務系統完成進行一次檢查評估。
(三)工作成果
? 執法檢查情況報告
? 檢查評估報告
『陸』 有沒有詳細的網路安全等級保護流程介紹謝謝了。
開展網路安全等級保護工作的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。具體細節:
定級階段:
網路運營者確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
備案階段:
第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時,在明確安全保護等級後需在10個工作日內,到縣級以上機關備案,提交相關材料。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略,制定網路安全建設整改方案
根據網路安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
注意:全國各地區政策不一樣,以實際情況為准。
等級測評階段:
網路安全等級保護測評過程分為4個基本活動:測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。
監督檢查階段:
每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,機關可以委託社會力量提供技術支持。
以上都是摘自時代新威官網,裡面等保干貨非常多,解釋更加規范、准確。
『柒』 信息安全等級保護的實施原則
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
為什麼要辦理網路安全等級保護備案?
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
『捌』 招標文件中對招標人提出的資質等級的要求有什麼限制
招標文件對投標人的資質要求,主要是根據項目的規模大小,項目類型,不能擅自提高投標人的資質要求,也不能把資質設定的過低,保證不了項目的完成。
一、投標人資質要求
1、所有投標人都必須是獨立的企業法人實體,否則視為廢標。
2、投標人須提供本項目所有投標產品製造廠家的三年質保承諾函(提供原件)。
二、功能要求
1、此次市司法局信息系統安全等級保護整改項目,是按照省廳信息安全建設相關要求,結合市司法局信息系統安全等級保護的測評結果,並參考省廳《安徽省司法行政信息網路安全等級保護及運行管理體系建設指南》文件,開展的針對市司法局信息系統安全等級保護測評工作的全面整改工作。通過本次信息系統安全等級保護整改工作能夠確保主要防護水平達到二級要求,重要系統主要指標達到三級防護水平,從而提升市司法局整體信息安全防範水平。
2、本整改建設項目要求投標人所提供整改方案能夠完全滿足市司法局目前整改要求,同時應考慮到對於重要基礎部分的保護措施應達到等保三級技術要求。投標人本項目中選用的信息安全設備必須符合上述要求,能夠達到市司法局信息安全建設和整改目標,從而讓市司法局的司法行政信息系統安全穩定的運行。
3、如投標人選用的安全設備無法實現以上功能,本項目不予驗收,所有責任由投標人自行承擔。
三、技術方案
按照國家和省司法廳相關要求,市司法局邀請安徽省信息安全測評中心對市司法局信息系統進行了信息系統安全等級保護測評。通過測評發現了市司法局信息系統面臨的多個安全風險。為保護信息化發展、維護國家信息安全以及全面提升信息安全建設水平,市司法局參照省廳於2014年7月下發了的《安徽省司法行政信息網路安全等級保護及運行管理體系建設指南》(以下簡稱《指南》),進行信息系統安全等級保護整改工作,以確保市司法局司法行政信息
系統安全、穩定、高效的運行,更好的服務於市司法局各部門的日常司法業務工作。
本次信息系統安全等級保護整改項目,需確保市司法局司法行政系統信息網路的信息安全防護能力全面達到信息系統安全保護等級第二級要求;「公證綜合管理信息系統」和「社區矯正綜合管理信息系統」業務系統按照等級保護三級技術要求進行實施,關鍵防護措施達到等級保護三級防護技術要求。
投標人需針對招標文件編制詳細、具有針對性的信息安全等級保護整改技術方案,並承諾該實施方案完成後,能夠通過省信息安全測評中心的復測,並取得公安部門的正式備案證書。
在滿足信息系統安全等級保護整改項目需求的同時,投標人還需對市司法局下轄的縣級司法行政系統專網接入方式進行升級,實現司法行政專網數據、語音和視頻業務系統的整合和優化,為市司法局建立規范統一的司法行政系統信息承載網路平台。
四、售後服務
1、投標人必須提供詳細售後服務承諾及售後服務方案。
2、本項目售後服務要求如下:
本項目免費服務期限為設備安裝調試完畢日起三年;
免費質保期內,投標人需按照等級保護安全整改服務內容提供各項安全技術和管理相關服務。
免費服務期內,設備安裝三個月內如出現硬體故障,投標人須提供免費更換全新設備服務;
免費服務期內,投標人須在收到黃山市司法局的故障申告或產品功能調整要求後,提供免費現場技術服務,不限次數;
免費質保期內,如黃山市司法局設備出現硬體故障,但已超出三個月免費更換期,投標人須提供備品備件,更換故障設備或板卡,並提供免費設備維修服務。
『玖』 信息安全等級保護的標准規范
計算機信息系統安全等級保護劃分准則 (GB 17859-1999) (基礎類標准)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標准)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標准)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標准)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標准)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標准)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標准)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標准)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標准)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標准) GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術 資料庫管理系統安全技術要求
GB/T 20984-2007 信息安全技術 信息安全風險評估規范
GB/T 20985-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規范