三級等保每年測評一次,二級等保兩年測評一次。二級至少應具有6名以上等級測評師,其中中級測評師不少於2名;三級(含)以上信息系統等級測評工作的測評機構至少應具有 10 名以上等級測評師,其中中級測評師不少於4名,高級測評師不少於2名。
網路安全等級保護一共分五級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
B. 請問等保三級多久測評一次時間長嗎
四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標准要求,如電力行業明確二級系統兩年做一次測評。
以北京市為例,等保備案准備階段,若雙方配合度高,材料編制與專家評審會的准備為10個工作日左右;等保備案材料提交准備的時間在3個工作日左右;等保測評的開展需35個工作日左右,最後提交測評報告以及審核階段,在網安接受材料後,以網安下發實際備案證明時間為准。值得注意的是:在全過程中,需要企業進行安全建設整改,具體時間以各企業實際情況為准。
想要快速完成等保測評全流程有五大關鍵要素,在此分享給廣大網路運營者參考。即優選測評機構、系統合理定級、准備工作充分、及時跟進流程、關鍵路徑並進。
01 優選測評機構
選擇測評機構時應盡量選取企業所在地的測評機構,綜合考慮其公司資質與技術能力,如測評公司具有的資質、各等級測評師人員數量、在市場中的口碑、被測評企業所屬行業的測評案例等。同時明確提出本次測評的工期要求與項目預算,並採取邀請招標或公開招標的方式選擇最優的測評機構。例如北京市選擇中國信息安全測評中心、北京時代新威等有《網路安全等級保護測評機構推薦證書》的專業測評機構。
02 系統合理定級
系統定級是等保測評的第一步,無論是在建系統或已建系統,合理定級是關鍵,應參照「定級過低不允許、定級過高不可取」的原則來定級。定級完成後需由安全專家與業務專家共同對定級報告中涉及的系統業務描述、業務網路拓撲、業務受影響的風險分析進行專家評審並形成書面專家評審意見。最後定級報告與專家評審意見需上傳到公安網警的等級保護備案系統中。
03 准備工作充分
做好大量的准備工作是快速完成等保測評的先決條件。從業務系統的全生命周期角度來看,需要具備項目立項、需求說明、實施方案、驗收標准、人員組織、管理制度等過程環節資料。特別是網路安全方面,需要有網路安全的設計方案、建設實施方案、安全策略及安全檢測規范、安全運營管理制度及安全建設運營過程文檔(如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等)。針對規模大或重要性要求高的業務系統其建設設計方案、安全保障方案需要聘請外部專家進行專家評審並形成書面專家評審意見。
04 及時跟進流程
企業在公共信息網路安全綜合管理系統填報前應授權一位負責人,並由其跟進後續備案資料收集與文檔掃描、系統填寫與資料上傳,同時關注審核反饋信息及時提交補充資料和修訂資料。及時關注審核結果、獲取備案證明及線下提交測評報告。此過程中,遇到問題應及時反饋給上級領導,並協調資源推進等級保護備案流程。
05 關鍵路徑並進
加快項目進度一般可採取加班與並行趕工的方式,但前提是需要一名優秀的項目經理來分解項目實施步驟,識別並規劃關鍵實施路徑,把控管理項目實施過程風險。等級保護測評過程主要可並行的環節有商務洽談與技術實施、系統建設與安全檢測、系統測評與整改復測。
C. 信息安全等級保護必須做嗎
是的,必須做,醫療行業一直都是等級保護測評的重點對象。早在2011年,醫院的等級保護工作就已經開展。到2018年,國家還把互聯網醫院平台也納入了信息系統等級保護的范疇。目前,國家衛生健康委員會(國家衛健委)出台的關於醫療行業信息系統等級保護的相關規定有:
①《衛生行業信息安全等級保護工作的指導意見》
②《2016 三級綜合醫院評審標准考評辦法 ( 完整版 )》
③《國家健康醫療大數據標准、安全和服務管理辦法(試行)》
④《互聯網醫院管理辦法(試行)》
⑤《互聯網診療管理辦法(試行)》
如果是互聯網醫院,還必須通過三級等保認證。
D. 等級保護測評到底是做什麼的
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
企業辦理網路安全等級保護備案的原因:
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
證書案例
E. 信息系統的信息安全等級保護的測評是必須的嗎有沒有專門的出台了法律法規監管細則規范了這件事
1、能不能自己測評要看你的等級保護備案時的級別,2級以上都要公安部門和上級主管部門測評的。
2、等保很多要求標准在不斷修改中,建議在對自己的信息安全整改過程中,引入有資質的第三方,這樣會比較容易些。 二級及以下可以自己測評,也可以不做測評。3級以上必須經過測評。
《信息安全等級保護管理辦法》第十四條第一款規定: 信息系統安全保護等級為第三級的信息系統應當每年至少進行一次等級測評。
F. 任何組織和個人都有權對網路運營者的網路進行安全防禦測試嗎
任何組織和個人都有權對網路運營者的網路進行安全防禦測試,這句話是錯誤的,只有法律規定的網路安全服務機構才可以進行測試。
根據《中華人民共和國網路安全法》第三十八條關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
(6)網路安全測評是強制的嗎擴展閱讀:
《中華人民共和國網路安全法》第六十二條違反本法第二十六條規定,開展網路安全認證、檢測、風險評估等活動,或者向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息的,由有關主管部門責令改正,給予警告;
拒不改正或者情節嚴重的,處一萬元以上十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。
G. 網路安全等級保護與信息安全等級保護有什麼區別
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
企業辦理網路安全等級保護備案的原因:
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
網路安全等級保護分五個級別:
H. 等級保護必須要做么找誰做
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
企業辦理等級保護的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
等級保護總共分為5級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
I. 什麼是網路安全等級保護啊
你好,網路安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網路安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構,依據《信息安全技術網路安全等級保護基本要求》等技術標准,定期對信息系統開展測評工作。
《網路安全法》 明確規定信息系統運營、使用單位應當按照網路安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。下面是網路安全等級保護等級劃分及適用行業說明:
第一級(自主保護級):一般適用於小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統。信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用於縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網路系統等。 信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用於國家重要領域、重要部門中的極端重要系統。信息系統受到破壞後,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級准則和等級劃分。
最後,二級及以上的信息系統都需要進行等級測評,且等級測評並不是做一次就可以,二級系統每兩年至少進行一次測評,三級系統每年至少進行一次測評,四級系統每半年至少進行一次測評。
測評周期
J. 信息安全測評是什麼只有等級保護嗎
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段,山東省軟體評測中心作為公安部授權的第三方測評機構,為企事業單位提供免費專業的信息安全等級測評咨詢服務。
信息安全等級保護測評工作是等級測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標准,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動.
等級測評體系建設主要內容包括測評機構的建設和規范管理,測評人員和測評活動的規范管理等。信息安全等級保護測評工作是信息安全等級保護工作的重要環節,是專門機構針對信息系統開展的一種專業性、服務性的檢測活動。
等級測評工作涉及的信息系統范圍廣、敏感性強,參與的測評機構及測評人員復雜,如果缺乏對測評機構和測評人員的管理,則難以保證等級測評的客觀、公正和安全,甚至會給重要信息系統安全造成新的風險和隱患,危害國家安全和社會穩定。
為加強對測評機構及測評人員管理,穩步推進等級測評機構建設,規范等級測評活動,提高測評機構、人員的技術能力和水平,在國家信息安全等級保護協調小組的領導下,全國組織開展信息安全等級保護等級測評體系建設工作,以保障等級保護工作的順利開展。
(10)網路安全測評是強制的嗎擴展閱讀:
工作內容
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。
信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現。
另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關系,共同作用於信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。
因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
參考資料來源:網路-信息安全等級保護