安全資訊

等級保護相關(guān)知識真是很多

等級保護標準

等級保護定級備案

等級保護差距測評

等級保護安全加固

等級保護測評

等級保護監督檢查

等級保護相關(guān)資質(zhì)

1、等級保護標準有哪些？

* GB 17859-1999 《計算機信息系統 安全等級保護劃分準則》

* GB/T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》

* GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》

* GB/T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》

* GB/T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》

* GB/T 25058-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護實(shí)施指南》

* GB/T 28449-2018 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指南》

* GB/T 36959-2018 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評機構能力要求和評估規范》

* GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測試評估技術(shù)指南》

其他相關(guān)法律和規范

* 《中華人民共和國網(wǎng)絡(luò )安全法》規定必須要做等級保護

* 信息安全測評聯(lián)盟“網(wǎng)絡(luò )安全等級保護測評高風(fēng)險判定指引”（暫未正式發(fā)布）

2、等級保護定級備案

1）等級保護定級準備

依照GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》和上級主管部門(mén)要求對信息系統進(jìn)行定級。
信息系統安全包括業(yè)務(wù)信息安全和系統服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統定級也應由業(yè)務(wù)信息安全和系統服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統安全保護等級稱(chēng)為業(yè)務(wù)信息安全等級。從系統服務(wù)安全角度反映的信息系統安全保護等級稱(chēng)系統服務(wù)安全等級。

2）等級保護定級專(zhuān)家評審

等級保護行業(yè)相關(guān)專(zhuān)家3人，企業(yè)方負責等級保護項目的項目經(jīng)理，網(wǎng)絡(luò )管理員、運維管理員，應用管理員等。會(huì )議過(guò)程中，專(zhuān)家可能會(huì )對信息系統的基本狀況進(jìn)行詢(xún)問(wèn)。如：網(wǎng)絡(luò )結構，業(yè)務(wù)主體，服務(wù)對象，數據備份情況，安全運維情況等。

專(zhuān)家評審流程：專(zhuān)家簽到 → 確定專(zhuān)家組組長(cháng) → 定級闡述 → 專(zhuān)家就定級相關(guān)問(wèn)題進(jìn)行提問(wèn) → 專(zhuān)家對定級結果進(jìn)行討論 → 修改專(zhuān)家評審意見(jiàn) → 簽字 → 定級評審會(huì )議結束。

3）等級保護備案提交資料

第二級以上信息系統，在安全保護等級確定后30日內，由其運營(yíng)、使用單位或者其主管部門(mén)（以下簡(jiǎn)稱(chēng)“備案單位”）到所在地設區的市級以上公安機關(guān)辦理備案手續。辦理備案手續時(shí)，應先與所在地設區的市級以上公安機關(guān)辦（所在地網(wǎng)安大隊）取得聯(lián)系，詢(xún)問(wèn)所需的備案材料，不同地區所需的備案材料不盡相同。

依照網(wǎng)安大隊的要求將備案資料準備齊全后，到網(wǎng)安大隊進(jìn)行備案。

備案時(shí)應提交的材料（不同地區備案資料不完全一樣）

* 定級報告，紙質(zhì)版一式兩份加蓋公章 電子版一份刻錄光盤(pán)（紙質(zhì)版掃描件）

* 備案表

* 工商營(yíng)業(yè)執照、組織機構代碼證和稅務(wù)登記證 或三證合一，復印件一份加蓋公章，原件掃描件刻錄光盤(pán)。

* 法人身份證，如非法人親自辦理備案則需要法人授權書(shū)（法人親筆簽字）、被授權人身份證。

* 網(wǎng)絡(luò )安全承諾書(shū)

* 24小時(shí)緊急聯(lián)系人

* 三級及以上信息系統提供備案表表四中的全部?jì)热荨?

* 對應管理區網(wǎng)安大隊要求提供的其他資料

4）網(wǎng)安部門(mén)受理
辦理備案前應先與網(wǎng)安支隊或網(wǎng)安總隊約定好備案時(shí)間，并準時(shí)到達網(wǎng)安支隊或網(wǎng)安總隊辦理備案。經(jīng)審核符合等級保護要求的，公安機關(guān)應當自收到備案材料之日起的十五個(gè)工作日內，將加蓋本級公安機關(guān)印章（或等級保護專(zhuān)用章）的《備案表》一份反饋備案單位，一份存檔；對不符合等級保護要求的，公安機關(guān)公共信息網(wǎng)絡(luò )安全監察部門(mén)應當在十個(gè)工作日內通知備案單位進(jìn)行整改，并出具《信息系統安全等級保護備案審核結果通知》。
備案通過(guò)的單位，將獲得信息系統安全等級保護備案證明。

3、等級保護差距分析

相當于等級保護的差距測評（可選，不強制），對信息系統預先進(jìn)行的一次模擬測評，目的是發(fā)現信息系統安全現狀與國家等級保護對應等級安全防護能力之前的差距，出具差距分析報告及整改意見(jiàn)報告。

1）現場(chǎng)訪(fǎng)談
測評工程是在測評過(guò)程中需要網(wǎng)絡(luò )管理員、服務(wù)器管理員、數據庫管理員、應用管理員等人員進(jìn)行現場(chǎng)配合，主要的工作方式為：測評工程師說(shuō)明需要檢查哪些相關(guān)的安全策略，由客戶(hù)方的工程師進(jìn)行操作查詢(xún)，測評工程師負責記錄。人員：網(wǎng)絡(luò )管理員、服務(wù)器管理員、數據庫管理員、應用管理員等。文檔：公司所有有關(guān)的安全管理制度、規范、手冊等。
2）滲透測試及漏洞掃描
等級保護二級信息系統需進(jìn)行漏洞掃描，三級信息系統需進(jìn)行滲透測試，整改完成需再次進(jìn)行測試驗證，確認漏洞修復有效。

3）差距整改建議

結合企業(yè)自身情況進(jìn)行整改。依據信息安全測評聯(lián)盟的“網(wǎng)絡(luò )安全等級保護測評高風(fēng)險判定指引”進(jìn)行高風(fēng)險判定，同時(shí)在滲透測試和漏洞掃描中發(fā)現的高、中危漏洞必須修復，如漏洞修復會(huì )對企業(yè)的相關(guān)業(yè)務(wù)造成影響可采用其它方式降低漏洞被利用的可能性，例如限制訪(fǎng)問(wèn)，更改端口號等。信息系統整改時(shí)需注意企業(yè)所投入的人力、物力、財力，綜合考量后再決定整改那些不符合項。

4、等級保護安全加固

根據等級保護差距分析結果，出具安全加固及整改建議方案，并根據方案進(jìn)行整改，包括：系統補丁升級、網(wǎng)絡(luò )及安全產(chǎn)品配置整改、增加相應的安全產(chǎn)品、各種環(huán)境整改、制度評估及整改等。

5、等級保護測評

擁有國家等級測評資質(zhì)的第三方測評機構對企業(yè)的信息系統進(jìn)行等級測評，并出具等級測評報告，二級一般2年測評一次，三級1年測評一次，其他等級一般涉及不多，暫不做介紹。

1）網(wǎng)絡(luò )安全等級保護測評的四個(gè)階段

2）網(wǎng)絡(luò )安全等級保護測評的基本內容

6、等級保護監督檢查

公安機關(guān)開(kāi)展等級保護監督檢查，其目的在于全面了解掌握各行業(yè)、各地區、各單位網(wǎng)絡(luò )安全等級保護、等級測評、安全建設整改等工作部署和貫徹落實(shí)情況，總結開(kāi)展網(wǎng)絡(luò )安全等級保護工作的成功經(jīng)驗，查找分析工作中存在的突出問(wèn)題，督促、指導各備案單位進(jìn)一步落實(shí)網(wǎng)絡(luò )安全等級保護制度的各項要求，建立健全等級保護監督檢查工作的長(cháng)效機制。檢查核實(shí)信息系統運營(yíng)使用、建設單位的等級保護工作開(kāi)展和落實(shí)情況，重點(diǎn)督促、檢查安全設施、安全措施、安全管理制度、安全責任、責任部門(mén)和人員。

① 等級保護工作組織開(kāi)展、實(shí)施情況。安全責任落實(shí)情況，信息系統安全崗位和安全管理人員設置情況；
② 按照網(wǎng)絡(luò )安全法律法規、標準規范的要求制定具體實(shí)施方案和落實(shí)情況；
③ 信息系統定級情況，信息系統變化及定級變動(dòng)情況；
④ 設施建設情況和整改情況；
⑤ 網(wǎng)絡(luò )安全管理制度建設和落實(shí)情況；
⑥ 網(wǎng)絡(luò )安全保護技術(shù)措施建設和落實(shí)情況；
⑦ 選擇使用網(wǎng)絡(luò )安全產(chǎn)品情況；
⑧ 聘請測評機構按規范要求開(kāi)展技術(shù)測評工作情況，根據測評結果開(kāi)展整改情況；
⑨ 自行定期開(kāi)展自查情況；
⑩ 開(kāi)展網(wǎng)絡(luò )安全知識和技能培訓情況。

7、等級保護相關(guān)資質(zhì)

1）信息安全等級保護安全建設服務(wù)機構能力評估合格證書(shū)主要面向等級保護安全建設服務(wù)方面，此證書(shū)對申請企業(yè)只有能力限制，無(wú)對象限制要求。

除此之外，有些安全廠(chǎng)商為了給客戶(hù)提供卻更專(zhuān)業(yè)的安全集成和全生命周期安全服務(wù)，還擁有其它業(yè)界認可的相關(guān)權威資質(zhì)：

CCRC信息安全集成服務(wù)資質(zhì)認證
CCRC信息安全風(fēng)險評估服務(wù)資質(zhì)認證
國家信息安全測評信息安全服務(wù)資質(zhì)證書(shū)（風(fēng)險評估類(lèi)）
國家信息安全測評信息安全服務(wù)資質(zhì)證書(shū)（安全工程類(lèi)）
國家信息安全測評信息安全服務(wù)資質(zhì)證書(shū)（安全開(kāi)發(fā)類(lèi)）
工業(yè)信息安全應急服務(wù)支撐單位證書(shū)

2）網(wǎng)絡(luò )安全等級保護測評機構推薦證書(shū)
主要面向等級保護安全測評服務(wù)方面，此證書(shū)對申請企業(yè)有一定限制，安全產(chǎn)品廠(chǎng)商或軟件開(kāi)發(fā)廠(chǎng)商不能申請，不能向用戶(hù)推薦產(chǎn)品品牌等要求。