西安等級保護測評西安等級保護測評

弈聰軟件是西安信息系統安全等級保護測評備案專業服務機構,面向西安客戶提供信息系統安全等保評測,西安等保備案業務?,F就等級保護測評備案業務中常見的一些問題為您做詳細的梳理解答!

一、等級保護是什么?

網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。

(等級保護是對專有信息及信息系統進行分等級保護,對其中的信息安全產品進行按等級管理,對發現的安全事件分等級響應和處置。兩個對象,三重管理。)

二、等級保護工作具體步驟流程是什么?

根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別為:1:是信息系統定級2:是信息系統備案(定級備案)3:是系統安全建設4:是信息系統等級測評(測評報告交屬地公安機關備案)5:主管單位定期開展監督檢查

(系統定級和備案工作是等級保護工作開展的前提,也是等級保護工作最先要做的內容,系統安全建設可以先做也可以在等級測評之后再進行,第三和第四步沒有嚴格意義上的先后順序之分。)

三、開展等級保護工作的相關法律法規或文件有什么要求?

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27 號)明確要求我國信息安全保障工作實行等級保護制度;《信息安全等級保護管理辦法》的通知(公通字[2007]43號)具體部署了實施信息安全等級保護工作的操作辦法;《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號)加快推動了等級保護工作的發展;《中華人民共和國網絡安全法》明確了國家實行網絡安全等級保護制度。

(網絡安全法的出臺將等級保護工作以法律形式確定下來,等級保護工作至此以法律的形式確定為國家網絡安全的基本國策,沒有網絡安全就沒有國家安全。)

四、等級保護分為幾個等級?

答:分為五個等級,分別為第一級(自主保護級)、第二級(指導保護級)、第三級(監督保護級)、第四級(強制保護級)、第五級(??乇Wo級)。系統的重要程度從1-5級逐級升高。

我們在日常工作中需要進行等級保護測評的系統是2-4級,經常遇到的是二級和三級信息系統,一級系統要求比較低,不需要進行測評,如果某個系統達到五級系統,那么這個系統很可能就已經涉密了,就不是等級保護范疇了,所以在技術要求里也沒有五級的相關標準要求。

五、去哪里進行信息系統的定級備案工作?

答:全國絕大部分地方規定:各地級市的單位將定級資料交給各自地級市的網安支隊,省級單位將資料交給省公安網安總隊,特定行業有要求的另說,也有部分地方是先將資料交到區縣網安大隊,再由區縣網安大隊轉交地級市網安支隊進行備案。

系統定級資料填寫完成之后打印兩份,首頁蓋章,電子檔準備一份,帶著這些資料去當地公安網安部門進行系統備案,至于到底是哪個網安請根據各地的要求,省、市、區縣都有可能。

六、什么是等級保護測評?

答:等級保護測評指的是用戶單位委托第三方有測評資質且在當地備案的測評機構對單位已定級備案的信息系統按照對應的等級標準要求進行測評的過程,測評結束后出具相應的信息系統測評報告。

對測評機構要求一定是有資質且在用戶所在地公安網安部門備案,否則你找外地或外省的測評機構進行測評,測評結論得不到主管部門的承認,測評就白做了,特殊情況另說,如針對某個項目進行單獨異地備案。

七、信息系統的測評多久需要測一次?

答:四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標準要求,如電力行業明確二級系統兩年做一次測評。

二級系統為什么建議是兩年呢?一、系統相對三級沒那么重要,所以時間上相對長點;二、系統相對沒有定級的系統更重要些,且往往有些二級系統也非常重要,存儲了大量重要的信息數據(其實本來是定三級的,種種原因定了二級),不去做測評,風險太大。

八、等級保護測評一般多長時間能測完?

答:現場測評周期一般一周左右,具體看信息系統數量及信息系統的規模,有所增減。小規模安全整改2-3周,出具報告時間一周,整體持續周期1-2個月。如果整改不及時或牽涉到購買設備,時間不好說,但總的要求一年內要完成。

測評周期最不確定的因素就是整改,整改的快自然結束的快,所以用戶單位想早點結束的話就得把安全整改抓緊落實完成。

九、等級保護測評的費用是多少?

答:測評的費用首先是按照信息系統來算,不是按照一個單位,第二不同等級的測評費用不一樣。費用每個省市具體要求不一樣,通常每個省市都有自己的一個價格體系,二級和三級系統的測評費用相對都是固定的,如某些省市:二級系統不低于4萬元;三級系統不低于8萬元。

測評的費用按照系統個數和系統的等級去核算,等級越高的相對費用越高,具體請根據每個省的行情來看。


十、用戶單位需要開展等級保護測評,找誰去做?

答:找有測評資質在當地有資格的測評公司去做測評,該單位至少具有該省市信息安全等級保護協調小組辦公室發放的《信息安全等級保護測評機構推薦證書》,同時要求在測評機構在省公安廳網安總隊備案成功;另外部分省份要求測評機構在用戶單位所在地級市公安網安部門備案,備案成功后方可在當地開展等級保護測評工作。

測評必須是有資質有資格的測評公司去做,有些廠商或者集成商號稱能做測評,他們可能是有這個技術水平,但是沒有這個資格和資質。

十一、等級保護測評后的最終結論分為哪幾種?

答:測評最終結論分為不符合、基本符合和符合三種。除了結論之外還有具體得分,如82分。

測評的結論理論上有符合這種結論,就是滿分100分的情況,但是實際上很難達到,也幾乎沒有出現過,如果你們家測評達到100分了,或者你經??吹接腥说?00分,那一定是這家測評機構不負責任地在測評。一方面是沒有絕對的安全,另一方面等保的一些條款確實很難達到或者不適用。初次做等保能達到65-75之間就已經不錯了。

十二、等級保護測評結論不符合是不是等級保護工作就白做了?

答:等級保護測評結論不符合表示目前該信息系統存在高危風險或整體安全性較差,不符合等保的相應標準要求。但是這并不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準。

(測評結論不符合不是最重要的,而且最重要的是我們已經發現了問題,下面就需要及時對這些問題特別是高危風險及時進行安全整改,消除隱患,降低風險。)

十三、測評結束后有什么書面性的材料證明自己開展過等保工作?

書面性材料里有:一個是加蓋過主管部門的公章的系統定級備案資料和系統備案證明;另一個就是測評報告,加蓋過測評機構公章及測評專用章。

有不少客戶會問,測評報告出了后主管部門有沒有一個類似通過測評的一個證明,這個據我了解全國只有極個別地方有類似證明文件,絕大多數的地方都沒有,拿到了正式測評報告測評的工作就可以算是告一段落了。

看av