❶ 等級保護工作有哪些規定動作
等級保護工作遵循相關的法律法規,具備完善的政策流程支撐,有規定的流程動作。以下就是等級保護工作的基本流程
1.1 基本實施流程圖
1.1.1 系統識別與定級
1. 確定定級對象:根據《信息系統等級保護管理辦法》和《信息系統等級保護定級指南》的要求確定信息系統的安全等級確定保護對象。
2. 初步確定等級:通過分析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度,確定系統被破壞後受侵害的客體以及侵害對客體的侵害程度,綜合判定侵害程度。初步確定系統的等級。
3. 專家評審:定級對象的運營、使用單位應組織信息安全專家和業務專家,對初步定級結果的合理性進行評審,出具專家評審意見。
4. 主管部門審核:完成專家評審後,應將初步定級結果上報行業主管部門或上級主管部門進行審核。
5. 公安機關審核:將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
1.1.2 系統備案
1. 資料准備:由信息系統運營使用單位準備備案材料,填寫《信息系統安全等級保護備案表》
2. 系統備案:由信息系統運營使用單位到所在地設區的市級以上公安機關網路安全保衛部門辦理備案手續
3. 受理備案和審核:公安機關對備案材料進行審核,定級准確、材料符合要求的頒發由公安部統一監制的備案證明。發現定級不準的,通知備案單位重新審核確定
1.1.3 等級保護測評
信息系統運營使用單位需要聘請經過認證的安全測評機構,依據《信息系統安全等級保護管理辦法》和《信息系統安全等級保護測評要求》及《信息系統安全等級保護測評過程指南》標准,對信息系統安全保護狀況開展等級測評,按照《信息系統安全等級測評報告模板》(2019版)編寫等級測評報告。
等級保護測評工作採取詢問情況、查問和核對材料、調看記錄和資料、現場查驗、滲透測試、漏洞掃描等方式進行。通過等級測評,分析判斷目前信息系統所採取的安全措施與等級保護標准要求之間的差距,分析安全方面存在的問題,查找信息系統安全保護建設整改需要解決的問題,形成安全建設整改的安全需求。
1.1.4 整改
根據等級保護測評結果和整改建議,運營單位按照等級保護要求和相關規范和標准,進行安全建設。制定安全管理制度、完善安全設施安全手段,落實安全技術措施。
1.1.5 周期性監督檢查
公安機關依據管理辦法和檢查規范不定期對運營使用單位的信息系統進行安全監督、檢查、指導,如發現未履行等級保護職責,公安機關可以依法進行相應處罰,處罰標准參考《中華人民共和國網路安全法》《中華人民共和國刑法》《網路安全等級保護條例》。
❷ 等級測評師的報名
評估中心對等級測評機構的報名比例和人員基本情況進行核對,核對通過的,通知等級測評機構的報考人員登錄培訓系統進行報考人員信息注冊(現階段培訓系統未上線前採用線下填報人員信息表)。 對於報考人員比例不符合要求的等級測評機構,評估中心將通知其進行相應的調整後重新報名。
對發現人員基本情況明顯不具備培訓基礎的報考人員,評估中心告知等級測評機構該報考人員可能無法通過等級測評師的考試。 級別 培訓課程 課程設置目的 初級 信息安全等級保護政策 了解信息安全等級保護的相關政策、標准。 等級保護相關標准應用 了解信息安全等級保護的相關政策、標准。 網路安全測評 熟悉網路測評內容、要求和方法,能夠根據測評指導書客觀、准確、完整地獲取各項測評證據;
能夠按照報告編制要求整理測評數據,開展等級測評工作。 主機安全測評 熟悉主機測評內容、要求和方法,能夠根據測評指導書客觀、准確、完整地獲取各項測評證據;
能夠按照報告編制要求整理測評數據,開展等級測評工作。 應用和數據安全測評 熟悉應用和資料庫安全測評內容、要求和方法,能夠根據測評指導書客觀、准確、完整地獲取各項測評證據;
能夠按照報告編制要求整理測評數據,開展等級測評工作。 安全管理和物理測評 熟悉安全管理和物理測評內容、要求和方法,能夠根據測評指導書客觀、准確、完整地獲取各項測評證據;
能夠按照報告編制要求整理測評數據,開展等級測評工作。 工具測試方法 掌握測評工具的操作方法,能夠合理設計測試用例獲取所需測試數據。 中級 信息安全等級保護政策 熟悉信息安全等級保護相關政策、法規。 等級保護相關標准應用 正確理解信息安全等級保護標准體系和主要標准內容。 信息系統安全等級保護基本要求 熟悉標准結構,熟悉不同級別系統之間的差別、熟悉各級安全要求內容。 信息系統安全等級保護測評方法 熟悉信息安全等級測評方法,能夠獨立開發測評指導書,並熟悉測評指導書的開發、版本控制和評審流程;
能夠根據信息系統的特點,編制測評方案,確定測評對象、測評指標和測評方法;
能夠依據測評報告模板要求編制測評報告,能夠整體把握測評報告結論的客觀性和准確性。 信息系統安全等級保護測評實施 熟悉等級測評項目的工作流程和質量管理的方法。 項目管理 熟悉項目管理的主要內容和關鍵環節。掌握項目質量管理、進度管理、風險管理方法。 高級 信息安全等級保護政策 熟悉信息安全等級保護相關政策、法規。 等級保護相關標准應用 正確理解信息安全等級保護標准體系和主要標准內容。 美國信息系統安全保護政策和標准 熟悉和跟蹤國外信息安全的相關政策、法規及標準的發展。 我國信息安全標准體系 熟悉信息安全等級保護標准體系及主要標准。 信息安全技術發展趨勢 掌握網路與信息安全的理論基礎和發展趨勢。 信息系統測評原理與方法 掌握系統測評的原理和方法以及測評過程。 測評機構的質量體系建設 熟悉質量體系和制度建設的主要內容。 1)初級等級測評師
初級測評師考試採用筆試的方式,滿分100分,合格分數線為60分;筆試時間為120分鍾。
2)中級等級測評師
中級等級測評師考試採用筆試加面試的方式,滿分100分, 筆試和面試成績各佔50分,合格分數線為60分;筆試時間為120分鍾,面試時間為15分鍾。 評估中心組織專家對參加中級等級測評師考試的考生進行面試。參加面試人員需要介紹本人參加過的系統測評項目的情況及承擔的主要工作(5分鍾),專家通過質詢及評審相關材料對面試人員的能力進行考評。(評審相關材料主要包括測評指導書和等級測評報告,等級測評機構派專人將面試人員負責編寫的測評指導書和測評報告送達面試現場,面試結束後收回。)
如果測評機構的現場能力評估在面試之前,面試人員的測評指導書和報告的編制情況也可在等級測評機構現場能力評估時考核。
3)高級等級測評師
高級等級測評師考試採用筆試加面試的方式,滿分100分,筆試佔40分,面試佔60分;筆試時間為100分鍾,面試時間為20分鍾。 評估中心組織專家對參加高級等級測評師考試的考生進行面試。參加面試人員需要提交本人工作總結,並簡要介紹主要項目經歷(5分鍾)。專家通過質詢及評審相關材料對面試人員的能力進行考評。 評估中心定期更新《信息安全等級測評師》證書持有人目錄,並向社會公布,可以通過網站查驗《信息安全等級測評師》證書的真實性。
❸ 信息安全等級保護二級的認證(等保二級)的流程
具體備案流程如下:
確定對象
各行業主管部門、運營使用單位按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,初步確定定級對象的安全保護等級。
備案材料准備
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》。
專家評審與審批
初步確定信息系統安全保護等級和准備好備案材料後,運營使用單位或主管部門參照評審意見最後確定信息系統安全保護等級,形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統安全保護等級。
信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報上級行業主管部門審批同意。
備案材料提交及審核
定級備案單位將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》及上述配套材料提交屬地公安機關網安部門審核。對符合等級保護要求的,在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合本辦法及有關標準的,在收到備案材料之日起的10個工作日內通知備案單位予以糾正。
我們是專業做網路安全評估的,你可以到我們網站看看。
成都優創信安,專業的網路和信息安全服務提供商,專注於網路安全評估、網站安全檢測、安全應急響應。
❺ 等級保護測評流程
等級保護測評流程是:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
❻ 等保2.0里規定:測評機構的選擇符合國家有關規定,請問具體有關規定是什麼規定
看有沒有等保測評資質就完事了。
❼ 信息安全等級測評師有沒考過的過來人說下。
等級保護測評師分為初、中、高三個級別,不對社會開放,只對企業開放,一個企業要具備等級保護測評資質,需要具備一定數量的等級保護測評師,並且對初、中、高級的比例有要求。
這個證書對企業比較有用,人一旦離開企業,這個證書可能就失效了,這個證書雖然不能作為個人能力的體現,但可以作為國內比較權威的信息安全領域的證明,對個人的發展還是是很有用處的。
簡單的說,等級保護測評師不是誰都能考的,即使在等級保護測評機構內,名額都有限制的,在信息安全領域還是有一定權威性的。但是一旦離開了企業,這個證書可能就沒用了,唯一可以證明你在等級保護領域有相當的工作經驗和背景。
信息安全等級測評師具體能力要求如下:
一、初級等級測評師:
1、了解信息安全等級保護的相關政策、標准;
2、熟悉信息安全產品分類,了解其功能、特點和操作方法;
3、掌握等級測評方法,能夠根據測評指導書客觀、准確、完整的獲取各項測評證據;
4、掌握測評工具的操作方法,能夠合理設計測試用例獲取所需測試數據;
5、能夠按照報告編制要求整理測評數據。
二、中級等級測評師:
1、熟悉信息安全等級保護相關政策、法規;
2、正確理解信息安全等級保護標准體系和主要標准內容,能夠跟蹤國內、國際信息安全相關標準的發展;
3、掌握信息安全基礎知識,熟悉信息安全測評方法,具有信息安全技術研究的基礎和實踐經驗;
4、具有豐富的項目管理經驗,熟悉測評項目的工作流程和質量管理方法,具有較強的組織協調和溝通能力;
5、能夠獨立開發測評指導書,熟悉測評指導書的開發、版本控制和評審流程能夠根據信息系統的特點,編制測評方案,確定測評對象、測評指標和測評方法;
6、具有綜合分析和判斷的能力,能夠依據測評報告模板要求編制測評報告,能夠整體把握測評報告結論的客觀性和准確性,具備較強的文字表達能力;
7、了解等級保護各個工作環節的相關要求,能夠針對測評中發現的問題,提出合理化的整改建議。
三、高級等級測評師:
1、熟悉和跟蹤國內、外信息安全的相關政策、法規及標準的發展;
2、對信息安全等級保護標准體系及主要標准有較為深入的理解;
3、具有信息安全理論研究的技術、時間經驗和研究創新能力;
4、具有豐富的質量體系管理和項目管理經驗,具有較強的組織協調和管理能力;
5、熟悉等級保護的全過程,熟悉定級、等級測評、建設整改各個工作環節的要求。
以上內容參考:網路-等級測評師
❽ 等級保護測評到底是做什麼的
等級保護測評一般是指信息安全等級保護測評工作,即對信息和信息載體按照重要性等級分級別進行保護的一種測評工作。
《信息安全等級保護管理辦法》第七條規定:
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
(8)網路安全等級測評報告模板擴展閱讀:
信息安全基本原則:
自主保護原則:信息系統運營、使用單位及其主管部門按照國家相關法規和標准,自主確定信息系統的安全保護等級,自行組織實施安全保護。
重點保護原則:根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
同步建設原則:信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。
動態調整原則:要跟蹤信息系統的變化情況,調整安全保護措施。由於信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。
參考資料來源:
網路——信息安全等級保護
中國網——信息安全等級保護管理辦法
❾ 如何進行信息系統安全等級保護備案
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
信息安全等級保護的辦理流程:
一步:定級;(根據企業的系統評定辦理級別)
二步:修改;(對系統經行大致的修改系統)
三步:評測;(評測商對系統評測,得分)
四步:備案;(在當地的網安部門備案)
五步:維護。(定期對系統經行維護)
註:大致的流程如上述所說,也有先備案,後評測的,根據當地的規定來辦理。