干货 | 信息安全等级保护测评有哪些流程?
01
等级保护测评的依据
依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第一级:用户自主保护级,目前1.0版本不需要去备案(提交材料公安部也会给备案证明),等保2.0是需要备案的;
第二级:系统审计保护级,二级信息系统为自主检查或上级主管部门进行检查,建议时间为每两年检查一次;
第三级:安全标记保护级,三级信息系统应当每年至少进行一次等级测评;
第四级:结构化保护级,四级信息系统应当每半年至少进行一次等级测评;
第五级:访问验证保护级,五级信息系统应当依据特殊安全需求进行等级测评。
02
等级保护工作的步骤
运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:
1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)等。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、对所定级的系统进行专家评审(二级系统也需要专家评审)。
4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
5、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)。
6、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《测评报告》提交网监部门进行备案。
7、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
03
等级测评的流程
差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。