等保测评
    发布时间: 2023-11-04 14:06    
等保测评

网络安全等级保护测评


信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。

主要依据:

《中华人民共和国网络安全法》

《中华人民共和国计算机信息系统安全保护条例》

《计算机信息网络国际联网安全保护管理办法》(公安部令 33号)

《互联网安全保护技术措施规定》(公安部令 82号)

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护管理办法》(公通字[2007] 43号)

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)

技术标准:

GB 17859-1999《计算机信息系统安全等级保护划分准则》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》

信息安全等级保护测评是受系统运营使用单位委托,根据国家等级保护相关政策、法律法规、等级保护工作的相关标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等网络安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。成都久信信息技术股份有限公司是获得公安部授权的信息安全等级保护测评机构,面向全国开展信息系统等级保护测评工作。

主要规定:

《中华人民共和国网络安全法》中对网络安全等级保护具有明确要求:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

按照等级保护管理办法要求,三级系统应每年至少进行一次测评。

主要内容:

等级保护测评内容包含了技术和管理两个大类十个层面。

主要流程:

测评流程为:测评准备→安全测评(现场测评)→差距及风险分析→测评结果确定→(整改咨询及复测)→递交测评报告

等级保护测评工作流程