安全資訊

等級保護測評二級和三級信息系統多長(cháng)時(shí)間測評一次？

    網(wǎng)絡(luò )安全等級保護2.0測評，大家都知道信息系統三級每年測評一次，那么二級信息系統多長(cháng)時(shí)間測評一次呢？

很多人對這塊知識點(diǎn)很模糊，包括現有的部分測評機構，很多測評機構銷(xiāo)售在跟客戶(hù)交流的時(shí)候，都會(huì )說(shuō)三級系統每年測評一次，二級系統兩年測評一次，客戶(hù)就更不清楚這一塊知識點(diǎn)了，其實(shí)很多銷(xiāo)售也模模糊糊，其實(shí)二級信息系統公安部沒(méi)有明確必須要做等級保護測評，根據標準公安部只規定二級信息系統已運營(yíng)（運行）和新建第二級以上信息系統在地設區的市級以上公安機關(guān)辦理備案手續。

具體相關(guān)要求：

第十四條 信息系統建設完成后，運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術(shù)標準，定期對信息系統安全等級狀況開(kāi)展等級測評。第三級信息系統應當每年至少進(jìn)行一次等級測評，第四級信息系統應當每半年至少進(jìn)行一次等級測評，第五級信息系統應當依據特殊安全需求進(jìn)行等級測評。 

信息系統運營(yíng)、使用單位及其主管部門(mén)應當定期對信息系統安全狀況、安全保護制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統應當每年至少進(jìn)行一次自查，第四級信息系統應當每半年至少進(jìn)行一次自查，第五級信息系統應當依據特殊安全需求進(jìn)行自查。 

經(jīng)測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營(yíng)、使用單位應當制定方案進(jìn)行整改。 

第十五條 已運營(yíng)（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。 

新建第二級以上信息系統，應當在投入運行后30日內，由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。 

隸屬于中央的在京單位，其跨省或者全國統一聯(lián)網(wǎng)運行并由主管部門(mén)統一定級的信息系統，由主管部門(mén)向公安部辦理備案手續?？缡』蛘呷珖y一聯(lián)網(wǎng)運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關(guān)備案。

關(guān)于網(wǎng)絡(luò )安全等級保護測評漏掃和滲透相關(guān)規定

根據《信息安全技術(shù)信息系統安全等級保護測評過(guò)程指南 》7.2.2.4 工具測試 相關(guān)規定：

輸入：測評指導書(shū)，技術(shù)安全測評的網(wǎng)絡(luò )、主機、應用測評結果記錄表格。任務(wù)描述： 

a) 根據測評指導書(shū)，利用技術(shù)工具對系統進(jìn)行測試，包括基于網(wǎng)絡(luò )探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協(xié)議分析等。

b) 備份測試結果。

下面列出對不同等級信息系統在測評實(shí)施時(shí)的不同強度要求

一級：滿(mǎn)足GB/T22239-2008中的一級要求。

二級：滿(mǎn)足GB/T22239-2008中的二級要求，針對主機、服務(wù)器、關(guān)鍵網(wǎng)絡(luò )設備、安全設備等設備進(jìn)行漏洞掃描等。

三級：滿(mǎn)足GB/T22239-2008中的三級要求，針對主機、服務(wù)器、網(wǎng)絡(luò )設備、安全設備等設備進(jìn)行漏洞掃描，針對應用系統完整性和保密性要求進(jìn)行協(xié)議分析，滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。

四級：滿(mǎn)足GB/T22239-2008中的四級要求，針對主機、服務(wù)器、網(wǎng)絡(luò )設備、安全設備等設備進(jìn)行漏洞掃描，針對應用系統完整性和保密性要求進(jìn)行協(xié)議分析，滲透測試應包括基于一般脆弱性的內部和外部滲透攻擊。輸出/產(chǎn)品：技術(shù)安全測評的網(wǎng)絡(luò )、主機、應用測評結果記錄，工具測試完成后的電子輸出記錄，備份的測試結果文件。

個(gè)人總結：

    二級信息系統在等級保護測評過(guò)程中至少有一次漏掃，并出具相應的漏掃報告，報告中不能有高危漏洞；

   三級信息系統在等級保護測評過(guò)程中至少有一次漏掃和滲透測試，并出具相應的漏掃報告和滲透測試報告，報告中皆不能有高危漏洞；

   在測評過(guò)程中若客戶(hù)不想做漏掃和滲透測試，客戶(hù)需要寫(xiě)一份聲明，聲明內容中藥明確客戶(hù)放棄本次漏掃和滲透測評，有問(wèn)題自己負責等條款。