关联平台
网络安全实验室
等级保护测评中的流程和常见问题!-等保解读-等级保护测评机构定级备案测评一站式平台-国源天顺官网

新闻资讯

首页>>新闻资讯>>等保解读
2021-04-17 07:28:00

等级保护测评中的流程和常见问题!

分享到:

1.什么是等保测评?

等保测评是经公安部认证的具有资质的第三方测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

2.等保2.0测评内容有哪些?

等保2.0安全要求包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

3.等保测评合格标准有哪些?

等保2.0通过测评需满足以下两个条件:

○ 测评分在75以上

○ 无高危风险项

高危测评项有一票否决权,这也充分说明了安全建设的水桶原则,只要有一块短板,水桶就会漏水。企业在测评合格后会获取等级保护备案证明和纸质的测评报告,三级及以上系统需每年进行测评。

4.等保测评的安全通用要求有哪些?

 等保测评的安全通用要求分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个部分。以三级系统为例,针对重点测评项进行对标解读。

5.等级保护操作流程是什么样的?

等级保护实施过程一般包括系统定级、系统备案、整改建设、等级测评和监督检查五项工作。

6.对于等保测评对象有哪些建议?

(1)根据服务器角色和重要性,对网络进行安全域划分,

(2) 在内外网的安全域边界设置防火墙;设置访问控制策略,并要求颗粒度到端口级别;

(3)在网络边界处应当部署入侵防范手段,例如HIDS/WAF等防御,并记录入侵行为;

(4)通过诸如堡垒机等,对网络中的用户行为日志和安全事件信息进行记录和审计,同时避免账号共享。PS:记录和审计运维操作行为是最基本的安全要求;

(5)通过建立统一的管理中心,对安全设备、网络设备和服务等进行集中管理;

(6)在应用数据安全方面,需要考虑数据的完整性与保密性,加密是必要且常用手段;

(7)应对系统定期进行安全渗透、风险评估,进行漏洞和风险管理,采用科学的安全保障体系模型,形成完整、动态的安全闭环。

常见问题:

一、什么是等级保护?

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、等级保护分为几个等级?

分为五个等级,分别为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)系统的重要程度从1-5级逐级升高。
定级依据《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》

三、等级保护工作具体步骤是怎样的?

根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:

信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

四、去哪里进行信息系统的定级备案工作?

全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转

五、什么是等级保护测评?

等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程,测评结束后出具相应的信息系统测评报告。

六、信息系统的测评多久需要测一次?

四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。

七、等级保护测评一般多长时间能测完?

现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。

八、等级保护测评的费用是多少?

测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样。费用每个省市具体要求不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,如某些省市:二级系统不低于4万元;三级系统不低于8万元。

九、等级保护测评后的最终结论分为哪几种?

测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。

十、等级保护测评结论不符合是不是等级保护工作就白做了?

等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。

十一、测评结束后有什么书面性的材料证明自己开展过等保工作?

书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。

十二,意义

信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。

什么是等级保护?等级保护的作用?等保的时间和费用?
等级保护多久做一次?