‘壹’ 网络二级等保备案证书出来后后期需要干什么
等保 2.0 时代,开展网络安全等级保护工作的的五个规定基本动作:定级、备案、建设整改、等级测评、监督检查。
1. 定级
网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。
在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别,如:
业务信息安全:第二级,系统服务:第三级,最终等级保护级别为:第三级;
业务信息安全:第四级,系统服务:第三级,最终等级保护级别为:第四级;
业务信息安全:第三级,系统服务:第三级,最终等级保护级别为:第三级。
2. 备案
第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后需在 10 个工作日内,到县级以上公安机关备案,提交相关材料。公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在 10 个工作日内出具网络安全等级保护备案证明。
3. 建设整改
安全建设整改工作分五步进行:
落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
确定网络安全建设需求并论证;
确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);
根据网络安全建设整改方案,实施安全建设工程;
开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。
4. 等级测评
网络安全等级保护测评过程分为 4 个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
5. 监督检查
公安机关对第三级以上网络运营者每年至少开展一次安全检查,涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。
‘贰’ 企业做等级保护整改,需要什么资质
这个我不大了解,找了找,感觉是这三项,如果说错了,见谅。
1、需要注册两年以上的公司,有相关安全行业从业经验。
2、需要有10个通过公安部评估中心或同等机构认证的测评师。
3、填写国家信息安全等级保护工作协调小组办公室制订的信息安全等级保护测评机构申请表,按照上面的流程进行申请。
‘叁’ 信息系统安全等级保护定级工作是一项什么样的工作需要做哪些工作
你好,我国实行网络安全等级保护制度,网络运营单位都要按要求落实等级保护工作。什么是等级保护呢?简而言之,就是对信息和信息载体按照重要性等级分级别进行保护。就我国目前的情况而言,信息和信息载体的保护等级分为五个级别,从一到五级别逐渐升高。网络运营单位的信息和信息载体属于哪一个等级,就要按照这个等级的要求来做等级保护工作。
等级保护需要做哪些工作呢?
一般来说,等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节,下面我将依照等保2.0标准,对三级等保办理流程做详细解读:
1、系统定级
等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南,云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体,比如公益组织和中小私营企业,原则上也要进行定级备案。
同时,根据相关规定,定级对象具有以下三大基本特征:
①具有确定的主要安全责任主体;
②承载相对独立的业务应用;
③包含相互关联的多个资源。
如果企业的系统有以上特征,那么就算系统再小,也需要进行定级备案。简而言之,互联网上的系统差不多都要进行定级备案。
那么,等保定级究竟怎么定呢?根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
2、系统备案
根据《网络安全法》规定:
①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
企业最终确定保护对象的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3、安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
4、等级测评
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
二级及以上的信息系统都要做等级测评,且等级测评得分要在70分以上,并且没有高风险项才算通过。等级测评结束后,测评机构会出具测评报告。企业需要把测评报告提交给公安机关,才算真正落实了等级保护工作。
5、监督检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
‘肆’ 网络安全等级保护制度
关于网络安全等级的保护制度是:规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节,包括定级、备案、建设整改、等级测评、监督检查,网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
法律依据
《中华人民共和国网络安全法》 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
‘伍’ 等级保护工作开展的基本流程是什么
一、系统定级阶段
(一)责任人
? 各信息系统主管部门和运营使用单位
? 市信息办安全中心
(二)工作内容和标准
1.各信息系统主管部门和运营使用单位应依据《信息安全等级保护管理办法》及《信息系统安全等级保护定级指南(报批稿)》,自主确定系统等级。
2.可聘请专家对定级情况进行评审,出具评审意见;参照专家评审意见确定系统等级,形成定级报告。
3.市信息办安全中心负责定级的咨询服务工作(定级方法及流程),开通等级保护咨询服务热线。
(三)工作成果
? 专家评审意见
? 信息系统安全定级报告
二、系统定级备案阶段
(一)责任人
? 信息系统主管部门和运营使用单位
? 市信息办
? 各区县信息办
? 市电子政务等级保护专家组
(二)工作内容和标准
1.系统定级备案材料
? 《信息系统安全等级保护备案表》:单位基本情况、信息系统情况、信息系统定级情况、第三级以上信息系统提交材料情况;
? 备案电子数据:利用备案软件生成的rar文件
2、系统定级备案材料的报送方式
? 《信息系统安全等级保护备案表》:通过公文交换报送至同级信息化主管部门;
? 备案电子数据:邮件发送(或由专人递送)至同级信息化主管部门。
3、各区县信息办负责汇总所掌握的备案电子数据文件,每月月底前向市信息办报送;
4、市信息办接到备案材料及电子数据文件后,于10个工作日内完成材料审查,并对系统安全等级进行初步审核,如果:
? 接受备案,撰写《信息系统安全保护等级备案情况复函》-A;
? 资料不全,撰写《信息系统安全保护等级备案情况复函》-B;
? 明显定级不准,提请市电子政务等级保护专家组进行再评审,同时撰写《信息系统安全保护等级备案情况复函》-C,并正式复函备案信息系统主管部门和运营使用单位。
5、由市信息办牵头,成立市电子政务等级保护专家组,定期对备案明显不准的系统进行再评审,并协调系统运营使用单位对系统级别进行调整。
(三)工作成果
? 《信息系统安全保护等级备案情况复函》-A
? 《信息系统安全保护等级备案情况复函》-B
? 《信息系统安全保护等级备案情况复函》-C
? 《XXXX信息系统定级专家评审意见》
三、评估和整改建设阶段
(一)责任人
? 信息系统运营使用单位
? 市信息办
? 市电子政务等级保护专家组
(二)工作内容和标准
1.信息系统运营使用单位负责系统的风险评估和整改建设工作, 重要信息系统的运营使用单位应将系统等级保护整改建设方案报市信息办;
2.市信息办安全处、安全中心负责等级保护咨询工作,并推荐具有资质的风险评估实施单位、检测机构以及安全服务公司。
3.市电子政务等级保护专家组,负责电子政务重要信息系统等级保护整改建设方案的评审工作。
(三)工作成果
? 等级保护整改建设方案;
? 整改建设方案的评审意见;
四、等级测评阶段
(一)责任人
? 信息系统运营使用单位
? 市信息办
(二)工作内容和标准
电子政务信息系统的运营使用单位应落实系统安全等级测评资金保障工作,同时开展等级测评工作。
? 二级系统应按照《信息安全等级保护管理办法》的要求,由运营单位选择有资质的测评机构开展等级测评,形成等级测评报告,上报同级信息化主管部门(市信息办和区县信息办);
? 三级(及以上)系统的等级测评由市信息办统一组织实施。
市信息办安全中心负责跟踪重要信息系统等级测评工作的进展。
(三)工作成果
? 《信息系统安全等级测评报告》;
? 重要信息系统等级测评工作的进展情况
五、监督检查阶段
(一)责任人
? 信息系统运营使用单位
? 市信息办
(二)工作内容和标准
? 由市信息办牵头,会同相关部门,对市各委办局信息系统(尤其是重要信息系统)等级保护制度的落实情况,每年进行一次联合执法检查;
? 对于本市重要的电子政务系统,市信息办将分批用两年的时间对所有重要的电子政务系统完成进行一次检查评估。
(三)工作成果
? 执法检查情况报告
? 检查评估报告
‘陆’ 有没有详细的网络安全等级保护流程介绍谢谢了。
开展网络安全等级保护工作的五个规定基本动作:定级、备案、建设整改、等级测评、监督检查。具体细节:
定级阶段:
网络运营者确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。
备案阶段:
第二级及以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后需在10个工作日内,到县级以上机关备案,提交相关材料。
建设整改阶段:
安全建设整改工作分五步进行:
落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
确定网络安全建设需求并论证;
确定安全防护策略,制定网络安全建设整改方案
根据网络安全建设整改方案,实施安全建设工程;
开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。
注意:全国各地区政策不一样,以实际情况为准。
等级测评阶段:
网络安全等级保护测评过程分为4个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
监督检查阶段:
每年至少开展一次安全检查,涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,机关可以委托社会力量提供技术支持。
以上都是摘自时代新威官网,里面等保干货非常多,解释更加规范、准确。
‘柒’ 信息安全等级保护的实施原则
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
为什么要办理网络安全等级保护备案?
1.建立有效的网络安全防御体系(让客户的系统真正具有安全防御的能力)
2. 完成信息系统等级保护公安备案(取得备案证明) ,顺利通过网络安全等级保护测评(取得测评报告)
3 满足相关部门的合规性要求(包括国家的政策,法律法规的要求,还有上级部门的要求,还有甲方客户的要求等)
4. 系统过了等保,一定程度上可以提高企业投标锁标的能力,为投标加分
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
网络安全等级保护备案办理流程:
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
证书案例
‘捌’ 招标文件中对招标人提出的资质等级的要求有什么限制
招标文件对投标人的资质要求,主要是根据项目的规模大小,项目类型,不能擅自提高投标人的资质要求,也不能把资质设定的过低,保证不了项目的完成。
一、投标人资质要求
1、所有投标人都必须是独立的企业法人实体,否则视为废标。
2、投标人须提供本项目所有投标产品制造厂家的三年质保承诺函(提供原件)。
二、功能要求
1、此次市司法局信息系统安全等级保护整改项目,是按照省厅信息安全建设相关要求,结合市司法局信息系统安全等级保护的测评结果,并参考省厅《安徽省司法行政信息网络安全等级保护及运行管理体系建设指南》文件,开展的针对市司法局信息系统安全等级保护测评工作的全面整改工作。通过本次信息系统安全等级保护整改工作能够确保主要防护水平达到二级要求,重要系统主要指标达到三级防护水平,从而提升市司法局整体信息安全防范水平。
2、本整改建设项目要求投标人所提供整改方案能够完全满足市司法局目前整改要求,同时应考虑到对于重要基础部分的保护措施应达到等保三级技术要求。投标人本项目中选用的信息安全设备必须符合上述要求,能够达到市司法局信息安全建设和整改目标,从而让市司法局的司法行政信息系统安全稳定的运行。
3、如投标人选用的安全设备无法实现以上功能,本项目不予验收,所有责任由投标人自行承担。
三、技术方案
按照国家和省司法厅相关要求,市司法局邀请安徽省信息安全测评中心对市司法局信息系统进行了信息系统安全等级保护测评。通过测评发现了市司法局信息系统面临的多个安全风险。为保护信息化发展、维护国家信息安全以及全面提升信息安全建设水平,市司法局参照省厅于2014年7月下发了的《安徽省司法行政信息网络安全等级保护及运行管理体系建设指南》(以下简称《指南》),进行信息系统安全等级保护整改工作,以确保市司法局司法行政信息
系统安全、稳定、高效的运行,更好的服务于市司法局各部门的日常司法业务工作。
本次信息系统安全等级保护整改项目,需确保市司法局司法行政系统信息网络的信息安全防护能力全面达到信息系统安全保护等级第二级要求;“公证综合管理信息系统”和“社区矫正综合管理信息系统”业务系统按照等级保护三级技术要求进行实施,关键防护措施达到等级保护三级防护技术要求。
投标人需针对招标文件编制详细、具有针对性的信息安全等级保护整改技术方案,并承诺该实施方案完成后,能够通过省信息安全测评中心的复测,并取得公安部门的正式备案证书。
在满足信息系统安全等级保护整改项目需求的同时,投标人还需对市司法局下辖的县级司法行政系统专网接入方式进行升级,实现司法行政专网数据、语音和视频业务系统的整合和优化,为市司法局建立规范统一的司法行政系统信息承载网络平台。
四、售后服务
1、投标人必须提供详细售后服务承诺及售后服务方案。
2、本项目售后服务要求如下:
本项目免费服务期限为设备安装调试完毕日起三年;
免费质保期内,投标人需按照等级保护安全整改服务内容提供各项安全技术和管理相关服务。
免费服务期内,设备安装三个月内如出现硬件故障,投标人须提供免费更换全新设备服务;
免费服务期内,投标人须在收到黄山市司法局的故障申告或产品功能调整要求后,提供免费现场技术服务,不限次数;
免费质保期内,如黄山市司法局设备出现硬件故障,但已超出三个月免费更换期,投标人须提供备品备件,更换故障设备或板卡,并提供免费设备维修服务。
‘玖’ 信息安全等级保护的标准规范
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准) GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范