㈠ 网络信息系统安全保护等级分为
网络信息系统安全等级保护分为五级,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,五级防护水平一级最低,五级最高。具体介绍如下:
1、第一级(自主保护级),会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
2、第二级(指导保护级),会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序 和公共利益造成损害,但不损害国家安全;
3、第三级(监督保护级),会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
4、第四级(强制保护级),会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
5、第五级(专控保护级),会对国家安全造成特别严重损害。
你就填2级吧,
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
补充:
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
㈢ 如何申请信息安全等级保护检测资质
申请等保测评机构的单位应该具备这些条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金 500 万元以上,独立经营核算,无违法违规记录;
(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;
(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有网络安全相关工作经历的技术和管理人员不少于 15 人,专职渗透测试人员不少于 2 人,岗位职责清晰,且人员相对稳定;
(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;
(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);
(九)应具备的其他条件。
初步申请通过后,申请成为等保测评机构的单位还要接受复审,主要是对测评师的要求,比如申请单位应至少有 15人获得测评师证书,其中高级测评师不少于 1 人,中级测评师不少于 5 人。对于满足申请条件,且通过复审的单位,等保办会颁发《网络安全等级保护测评机构推荐证书》。
同时,等保办会于每年 12 月份对所推荐测评机构进行年审。年审通过的,等保办在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师注册标识。年审未通过的,等保办会责令测评机构限期整改。拒不整改或整改不符合要求的,测评机构的等级测评业务会被暂停。
此外,等保测评推荐证书并不是永久性的。测评机构推荐证书有效期为三年,测评机构应在推荐证书期满前 30 日内,向等保办申请期满复审。
最后,省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中,测评机构应接受被测网络备案公安机关的监督、检查和指导。
㈣ 网络安全等级保护测评合同需要交印花税吗
摘要 根据《印花税暂行条例施行细则》第十条规定,印花税只对税目税率表中列举的凭证和经财政部确定征税的其他凭证征税。 因此,质量检测合同,不属于印花税税目税率表中所列举的征税范围,不需缴纳印花税。
㈤ 信息安全等级测评师有没考过的过来人说下。
等级保护测评师分为初、中、高三个级别,不对社会开放,只对企业开放,一个企业要具备等级保护测评资质,需要具备一定数量的等级保护测评师,并且对初、中、高级的比例有要求。
这个证书对企业比较有用,人一旦离开企业,这个证书可能就失效了,这个证书虽然不能作为个人能力的体现,但可以作为国内比较权威的信息安全领域的证明,对个人的发展还是是很有用处的。
简单的说,等级保护测评师不是谁都能考的,即使在等级保护测评机构内,名额都有限制的,在信息安全领域还是有一定权威性的。但是一旦离开了企业,这个证书可能就没用了,唯一可以证明你在等级保护领域有相当的工作经验和背景。
信息安全等级测评师具体能力要求如下:
一、初级等级测评师:
1、了解信息安全等级保护的相关政策、标准;
2、熟悉信息安全产品分类,了解其功能、特点和操作方法;
3、掌握等级测评方法,能够根据测评指导书客观、准确、完整的获取各项测评证据;
4、掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;
5、能够按照报告编制要求整理测评数据。
二、中级等级测评师:
1、熟悉信息安全等级保护相关政策、法规;
2、正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
3、掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
4、具有丰富的项目管理经验,熟悉测评项目的工作流程和质量管理方法,具有较强的组织协调和沟通能力;
5、能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;
6、具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性,具备较强的文字表达能力;
7、了解等级保护各个工作环节的相关要求,能够针对测评中发现的问题,提出合理化的整改建议。
三、高级等级测评师:
1、熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;
2、对信息安全等级保护标准体系及主要标准有较为深入的理解;
3、具有信息安全理论研究的技术、时间经验和研究创新能力;
4、具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;
5、熟悉等级保护的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
以上内容参考:网络-等级测评师
㈥ 网络安全等级2.0。主要从哪里各方面进行等级测评
网络安全等级2.0是出自《网络安全法和网络安全等级保护2.0》,是2017年电子工业出版社出版的图书,作者是夏冰。
主要是分网络安全法和网络安全两个方面,安全法说的是以国家、网络运营者、公民个人等角色的网络安全义务和责任,将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面,并对网络运营者等主体的法律义务和责任的规定。
网络安全,是对互联网信息系统分级实施保护,在网络安全等级保护基础上,重点保护关键信息基础设施,能够有效地提高某个人或某企业的互联网资料的安全措施,从分级和分层的角度上来说,而达到的一种更为安全的级别,它包含不局限于网络设备(硬件)、网络维护人员、互联网安全防护软件以及其它安全防护错误等。
㈦ 网络安全测试都有什么
最近有个很火爆的叫做“安全极客嘉年华”的活动,它就是和网络安全测试相关的,它的英文名字是GeekPwn,这是知名人才云集的活动,它是由多次在全球知名大赛上获得第一名的Keen Team主办的,这回主要聚焦在了智能娱乐的安全隐患问题,大家找出安全漏洞进而改进。
你若是对网络安全测试和黑客知识感兴趣的话可以关注一下
㈧ 信息系统安全等级保护测评流程是什么
信息系统安全等级保护测评准备活动的工作流程:
信息系统安全等级保护测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。
信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图:
一、项目启动
在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。
输入:委托测评协议书。
任务描述:
a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
b) 测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。
输出/产品:项目计划书。
二、 信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。
任务描述:
a) 测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
b) 测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。
c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
输出/产品:填好的调查表格。
三、工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
输入:各种与被测系统相关的技术资料。
任务描述:
a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
b) 测评人员模拟被测系统搭建测评环境。
c) 准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
输出/产品:选用的测评工具清单,打印的各类表单。
㈨ 网络安全等级测评好做吗
好做。
网络安全等级测评没有技术难度,只是工作量非常大。技术主要看五大方面。物理,主机,网络,数据,应用。等保还有管理一方面,制度。物理安全。
举个例子,机房防风防雨防火防盗防破坏,从这一点看,物理上没多大技术含量,就是实地检查,或者访谈。