安全資訊

一、等保測評定義：

      網(wǎng)絡(luò )安全等級保護測評是指網(wǎng)絡(luò )系統運營(yíng)、使用單位委托具有等級保護測評資質(zhì)的測評機構，按照有關(guān)管理規范和技術(shù)標準，對處理特定應用的網(wǎng)絡(luò )和信息系統，采用安全技術(shù)測評和安全管理測評方式，對保護狀況進(jìn)行檢測評估，判定受測系統的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿(mǎn)足所定安全等級的結論，針對安全不符合項提出安全整改建議。

二、測評基本內容：

      對信息系統安全等級保護狀況進(jìn)行測試評估，應包括兩個(gè)方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統中的實(shí)施配置情況；二是系統整體測評，主要測評分析信息系統的整體安全性。其中，安全控制測評是信息系統整體安全測評的基礎。

對安全控制測評的描述，使用測評單元方式組織。測評單元分為安全技術(shù)測評和安全管理測評兩大類(lèi)。

安全技術(shù)測評：

包括物理安全、網(wǎng)絡(luò )安全、主機系統?安全、應用安全和數據安全等五個(gè)層面上的安全控制測評。

安全管理測評：

包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個(gè)方面的安全控制測評。

三、法律要求：

      根據《中華人民共和國網(wǎng)絡(luò )安全法》【第二十一條】國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

根據《中華人民共和國網(wǎng)絡(luò )安全法》【第三十一條】 國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。

四、《等級保護測評要求》的測評方法：

采用6種方式

逐步深化的測試手段調研訪(fǎng)談（業(yè)務(wù)、資產(chǎn)、安全技術(shù)和安全管理）；查看資料（管理制度、安全策略）；現場(chǎng)觀(guān)察（物理環(huán)境、物理部署）；查看配置（主機、網(wǎng)絡(luò )、安全設備）；技術(shù)測試（漏洞掃描）；評價(jià)（安全測評、符合性評價(jià)）。

五、服務(wù)流程：

系統定級→系統備案→差距分析→等級測評→監督檢查

Step1：系統定級。需要過(guò)等保的運營(yíng)單位要確定好定級對象，確定要過(guò)的系統等級，尋找當地公安認可的評測機構一起編寫(xiě)定級報告。如果確定需要通過(guò)三級等保，則還需要組織專(zhuān)家評審。

Step2：系統備案。系統投入運行的30日內由其運營(yíng)、使用單位到當地公安機關(guān)網(wǎng)監部門(mén)辦理備案手續?？梢宰屧u測機構輔導進(jìn)行材料的準備和備案。

Step3：差距分析。評測機構根據確定的等級和《網(wǎng)絡(luò )安全等級保護基本要求》對信息系統進(jìn)行差距對比分析，告知運營(yíng)單位需要對信息系統及自身管理進(jìn)行哪些整改。運營(yíng)單位按照整改要求進(jìn)行安全建設和整改。建設整改的時(shí)間有3個(gè)月，一般根據系統的規模和復雜程度決定整改的時(shí)間，短的一周可以完成，長(cháng)的3個(gè)月左右。

Step4：等級測評。運營(yíng)使用單位提供符合等級保護要求的建設和整改完成的證據。由評測機構對系統等級符合情況進(jìn)行等級評測并出具評測報告。評測結束后將評測報告提交給公安機關(guān)部門(mén)進(jìn)行保存，完成等級評測。

Step5：監督檢查。定級為二級的系統評測當年復查一次即可。定級為三級的系統需要每年進(jìn)行評測檢查，由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)。定級為四級的系統需要每半年進(jìn)行評測檢查，由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)。

六、常見(jiàn)問(wèn)題：

1、網(wǎng)站不做等保，出了問(wèn)題將承擔什么責任？

①、網(wǎng)絡(luò )運營(yíng)者不履行《中華人民共和國網(wǎng)絡(luò )安全法》【第二十一條】規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

②、關(guān)鍵信息基礎設施的運營(yíng)者不履行《中華人民共和國網(wǎng)絡(luò )安全法》【第三十四條】規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對直接負責的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

 

2、哪些行業(yè)需要做等保？

金融行業(yè)、游戲行業(yè)、教育行業(yè)、電商行業(yè)、網(wǎng)貸行業(yè)、通訊行業(yè)、能源行業(yè)、運輸行業(yè)等。

 

3、遞交的備案資料都包括哪些內容？

①、《信息系統安全等級保護備案表》（一式兩份）

②、《信息系統安全等級保護定級報告》（一個(gè)系統一份）

③、《系統定級評審意見(jiàn)》（或上級主管部門(mén)定級審核意見(jiàn)）

④、  相關(guān)電子數據等

 

4、整個(gè)周期是多長(cháng)？其中現場(chǎng)測評時(shí)間多長(cháng)？

①、整個(gè)測評周期包括前期調研、現場(chǎng)測評、后期報告編寫(xiě)等，一般情況下一個(gè)二級系統會(huì )占用3~4周，一個(gè)三級系統會(huì )占用4~5周（指初次測評，不包括整改和加固時(shí)間）；

②、 其中現場(chǎng)測評（指在被測系統單位現場(chǎng)的測評）的時(shí)間根據系統的數量而定：一般一個(gè)二級系統會(huì )占用3~4個(gè)工作日，一個(gè)三級系統會(huì )占用5~6個(gè)工作日（兩組同時(shí)進(jìn)行，每組兩人）。

 

5、等保測評檢查周期是多長(cháng)？

二級系統每2年進(jìn)行一次測評檢查，三級系統每年檢查一次。

6、等級保護找哪家比較靠譜？

等級保護測評是一項系統工程，從前期的調研、備案、專(zhuān)家評審、預測評、整改到正式測評，編制報告，都需要專(zhuān)業(yè)的公司來(lái)指導，等級保護測評就選安徽靈狐科技，一站式等級保護服務(wù)。