为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量保障国家网络安全等级保护制度深入贯彻实施公安部第十一局在近年来工作实践的基础上,组织制定了《网络安全等级保护测评机构管理办法》。现印发各地,请认真贯彻执行。
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
Ø 五个等级:由低到高一到五级,二级和三级最为常见。
Ø 主管单位:公安机关负责监督、检查、指导。
Ø 监管力度:二级以上系统均纳入公安机关监管范围,其中三级系统至少每年测评一次。
Ø 覆盖范围:中华人民共和国境内的计算机信息系统。即全社会覆盖,全系统覆盖。
通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
国家法律法规、相关政策制度要求单位开展等级保护工作,如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。
落实个人及单位的网络安全保护义务,第三方权威证明企业已尽到网络安全基本义务。
阶段 | 完成时间 | 工作内容 | 企业参与人员 | 交付物 |
1.定级备案 | 3-4周 | 备案材料提交到上海市公安局申请备案编号 | 机房物理环境 网络环境 服务器 数据安全 应用系统 管理制度 相关负责人员 | 备案资料 |
备案编号 | ||||
2.初测 | 3周 | 测评机构开展现场测评,包含管理和技术两大模块。 | 《问题汇总及整改建议》 | |
3.整改 | 1-2个月 | 根据问题汇总及其整改意见开展整改工作 | ||
管理安全涉及 相关文档 | ||||
4.复测 | 4周 | 等保入场复测,测评机构开展现场测评,对整改后的系统进行测评 | ||
《信息安全等级 保护测评报告》 | ||||
5.换取备案证明 | 1-2个月 | 将等保测评报告提交上海市网安总队审核,根据网安审核情况获取备案证明 | / | 备案证明 |
项目开展阶段 | 服务描述 | |
服务名称 | 服务内容 | |
一、项目规划 | 确定等保测评工作方法 | 根据系统安全等级情况、系统规模大小等,明确本次评估的方法。 |
制定等保测评工作总计划 | 制定系统的工作计划或方案,说明评估服务范围、评估服务对象、工作方法、人员组成、角色职责、时间计划等。 | |
二、定级备案 | 确定测评范围 | 明确本次被测评系统的范围,包括信息系统的边界等。 |
获得信息系统的信息 | 通过调查或查阅资料的方式,了解系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 | |
确定具体的评估对象 | 初步确定信息系统的被测评对象,包括整体对象,如办公、网络环境等;也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 | |
备案材料准备 | 协助甲方进行系统备案材料的整理填写,并报备公安机关,获取备案编号,完成定级备案工作。 | |
三、辅导整改 | 管理文档补充完善 | 按照国家规定的三级等保测评基本要求,在等级保护正式测评前,完成系统所有文档的梳理及完善工作。 |
提出整改建议 | 针对系统在等级保护测评中发现的各种问题提出整改建议,包括相关制度的梳理,最终达到等保三级标准,并协助甲方做好要求。 | |
四、备案证明 | 测评报告审核 | 测评报告正式盖章递交到网安前,进行内容、细节和格式等与用户再次确认。 |
换取备案证明 | 根据等级保护相关要求,协助甲方到公安机关领取系统备案证明。 | |
五、增值服务 | 英文咨询(可选) | 在等保工作过程中提供英文支持,包含英文版测评报告。 |
六、项目管理 | 等保项目周期管理 | 贯穿整个等保测试周期的项目进度把控和管理(周期3-6个月) |