㈠ 等級保護常見問題和解答
答:等級保護是公安部第三研究為響應國務院147號令而牽頭制定的信息安全標准和規范,全稱《信息安全等級保護》。等級保護截止目前為止分為兩個版本,等級保護1.0和等級保護2.0,基本內容要求分別參考GB/T 22239-2008和GB/T 22239-2019,由此可見等級保護1.0是從2008年開始實施的,而等級保護2.0是從2019年開始實施的。
等保2.0之後都是由專家進行定級,也就是在當地公安網監部門進行等保備案的時候進行定級評估。一般遵循如下原則:
答:等保的指標項參考基本要求項GBT 22239和測評項 GBT 28448;原則上可以通過配置和自身調整實現的基本要求項和測評項就不需要額外購買軟硬體來彌補,如果實在消耗人力和資源過大和無法通過自身資源調整實現,那最快最使用的方式就是購買第三方軟硬體和服務來實現該項的要求。
答:等級保護的范圍是全國所有非涉密系統,無論系統在內網還是互聯網,都需要做等保。
答:等級保護是以信息系統為整體,而不是以公司或部門。
比如有一個公司有10個信息系統,那麼除去不重要的,還有5個。
a、有兩個信息系統之間存在較多的數據之間的交互,則可以以一個整體做等保;
b、如有較少的數據交互或不存在交互,則建議單獨定級。
答:等保二級每兩年一次,沒有明確的標准說明,一般都是建議每兩年做一次。
等保三級每年都需做一次,參考見《信息安全等級保護管理辦法》(公通字[2007]43號),又稱43號文第十四條明確規定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行網路安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
如果你的信息系統沒做等保,那被攻擊了,造成一定影響了,首先是你沒履行網路安全義務,其次是黑客犯法,兩者都將收到嚴懲。
關鍵信息基礎設施簡稱「關保」,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
等級保護與關鍵信息基礎設施保護的區別在於,「關保」是在網路安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前「關保」的基本要求、測評指南、高風險判例等均已完成,相關工作已啟動。等保的受眾范圍比關保要廣泛,通常要做關保建設的主體都要做等保建設,而要做等保建設的不一定要做關保建設,關保建設是針對重要行業和領域的,是基於等保之上進行重點保護的。
《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
等級保護工作是保障我國網路安全的基本動作,目前各單位需按照所在行業及保護對象重要程度,依據網路安全法及相關部門要求,按照「同步規劃、同步建設、同步使用」的原則,開展等級保護工作。
一個二級或三級的系統整體持續周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。
小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
等級保護工作屬於屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標准。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
等級保護採用備案與測評機制而非認證機制,不存在包過的說法,盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作。
測評後無合格證書。等級保護採用備案與測評機制而非認證機制,在屬地網安備案後可獲得《信息系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的「測評報告(至少要加蓋測評機構公章和測評專用章)」。
全國各省網警管理有所差異,一般提交備案流程後,如資料完備,順利通過審核後15個工作日即可拿到備案證明。
等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。
不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統。同一單位的業務系統,如確實經過改造,入口、後台、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網路安全等級保護定級指南》要求可以算作一個系統。
選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網路安全等級保護網( djbh.net )的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
等級保護涉及面廣,相關的安全標准、規范、指南還有很多正在編制或修訂中。常用的規范標准包括但不限於如下:
不是。等級保護測評結論為「差」,表示目前該信息系統存在高危風險或整體安全性較差,沒有達到相應標准要求。但是這並不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標准,需要抓緊整改。
一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
要做。業務上雲有多種情況,如在公有雲、私有雲、專有雲等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網路運營者的安全責任不會轉移。根據「誰運營誰負責、誰使用誰負責、誰主管誰負責」的原則,應承擔網路安全責任進行等級保護工作。
很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標准只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但是,安全是一個動態而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此,要通過等級保護測評工作開展,以「一個中心、三重防護」好「三化六防」等為指導,不斷提升網路攻防能力。
首先,等保的每隔一段時間進行評測的,是一個持續不斷的過程;即使投機取巧今年過了,明年後年也還是要進行測評的。
其次,並沒有要求一定要自己購買,只需要提供有相關的服務證明即可,租賃合同也可以的。
首先聲明等保是沒有明文規定要求去購買第三方軟體和硬體的,第三方的軟體和硬體只是作為補償措施;在應用系統本身無法都滿足等保要求的情況下,可以藉助一些補償措施來彌補應用系統上的不足,讓應用系統符合等級保護測評項的相關要求。
漏洞掃描: 基本所有級別的等保都建議要進行漏洞掃描
滲透測試: 三級等保要求必須做,二級等保雖然不是強制要求但是首次進行等保建設還是建議先做一次的。
基線核查: 並非等保要求,但是方便去整改;如果在測評之前做了基線核查工作,那麼整改起來也會方便很多。
最快也得一周,具體看當地網監部門的審核進度。
㈡ 求專業的網路安全等級保護測評機構介紹有沒有好的建議
目前網路安全等級保護測評機構在全國數量並不是很多,僅有211家,其中我就對1家印象尤其深刻,來自北京等保測評機構,時代新威。
原因有三點:1、最近由時代新威組織發布了國際上第一本關於網路安全等級保護制度的英文書籍《中國網路安全等級保護制度理解與實施》英文版,這本書系統性地分析了中國的網路安全等級保護工作,解讀網路安全相關法律法規,梳理網路安全等級保護工作的有關政策、標准,並對等級保護具體實施環節進行了詳細說明,旨在為華外資企業、一帶一路沿線國家有關企業,及時響應中國網路安全政策,開展網路安全等級保護工作提供借鑒。真的是為國爭光!
2、時代新威自主研發了我國唯一的「CISP-A國家注冊信息系統審計師」認證課程。
3、這家資質非常硬,2003年成立,目前是公安部批準的網路安全等級保護測評機構(證書編號:DJCP2019110192),也是全國信息安全標准化技術委員會委員單位、國際網路安全標准化技術委員會ISO/IEC JTC1/SC27專家成員單位。
總之時代新威作為等級保護安全建設服務機構,充分參與了我國網路安全等級保護制度的建立和實施,深入研究和掌握風險管理理論、等級保護理論、信息安全管理體系理論、三道防線理論,並不斷將這些理論應用於等級保護、IT審計服務、網路安全咨詢服務的實踐中,在教育、金融、能源、電信等關鍵信息基礎設施領域有豐富的實踐經驗。
㈢ 等級保護測評機構名單
等級保護測評機構名單如下:
測評機構名稱:公安部信息安全等級保護評估中心、國家信息技術安全研究中心、中國信息安全測評中心、北京卓識網安技術股份有限升困公司、中國電力科學研究院有限公司、中國金融電子化公司測評中心
國家廣播電視總局監管中心廣播電視信息安全測評中心、中國電子科技集團公司第慧笑李十五研究所、公安部第一研究所信息安全等級保護測評中心、國家信息中心、中國鐵道科學研究院集團有限公司信息系統與信息安全評測中心
據了解專業的等保測評機構應具備有效的《網路安全等級保護測評機構推薦證書》,同時測評機構及其人員應當遵守國家有關法律法規,依據國家有關技術標准和本規范的相關規定,開展客觀、公正、安全的測評服務。
等級保護是我們國家的基本網路安全制度、基前遲本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
㈣ 等保測評公司名單有知道的嗎比較專業點的介紹一下
等保測評機構應具備有效的《網路安全等級保護測評機構推薦證書》,同時測評機構及其人員應當遵守國家有關法律法規,依據國家有關技術標准和本規范的相關規定,開展客觀、公正、安全的測評服務。
舉例來說國家等保辦推薦測評機構時代新威,證書編號:DJCP2019110192。網路安全國家標准編製成員單位。作為全國信息安全標准化技術委員會(TC260)委員單位之一的時代新威,實際主持參與了第一個信息安全管理體系國家標准「GB/T19716信息安全管理實用規則」編制工作;陸續參與了「GB/T19715信息技術安全管理指南」、「GB/T22080信息安全管理體系要求」等十幾項國家標準的編制。在等保行業裡面算是具有代表性了。
㈤ 等保2.0里規定:測評機構的選擇符合國家有關規定,請問具體有關規定是什麼規定
看有沒有等保測評資質就完事了。
㈥ 等級保護測評,哪裡可以幫忙辦
可以辦理的,等級保護測評的辦理流程:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
辦理等級保護測評的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。落實個人及單位的網路安全保護義務,合理規避風險。
㈦ 全國的信息安全等級保護測評機構有哪幾家不錯的
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作。
測評機構指具備規范的基本條件,經能力評估和審核,由省級以上信息安全等級保護工作協調(領導)小組辦公室推薦,從事等級測評工作的機構。
提供部分測評中心機構名單:
㈧ 專業的等保測評公司名單有哪些
據了解專業的等保測評機構應具備有效的《網路安全等級保護測評機構推薦證書》,同時測評機構及其人員應當遵守國家有關法律法規,依據國家有關技術標准和本規范的相關規定,開展客觀、公正、安全的測評服務。
舉例來說國家等保辦推薦測評機構時代新威,證書編號:DJCP2019110192。
而且在時代新威官網中了解到,時代新威作為全國信息安全標准化技術委員會(TC260)委員單位之一,實際主持參與了第一個信息安全管理體系國家標准「GB/T19716信息安全管理實用規則」編制工作;陸續參與了「GB/T19715信息技術安全管理指南」、「GB/T22080信息安全管理體系要求」等十幾項國家標準的編制。在等保行業裡面算是具有代表性了。
除此之外,還有中國信息通信研究院、北京信息安全測評中心等等,更多等保測評公司名單大家可去網路安全等級保護網——全國網路安全等級保護測評機構推薦目錄進行查看。