等保测评 依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估。
定级协助
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的侵害程度等因素确定等级保护对象的安全保护等级。▶ 定级标准依据> GB 17859-1999 《计算机信息系统安全保护等级划分准则》> GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》定级流程
▶ 确定定级对象> 具有确定的安全责任主体;> 承载相对独立的业务应用;> 包含相互关联的多个资源。▶ 初步确定等级> 包括确定受侵害的客体、对客体的侵害程度以及综合判定侵害程度。▶ 专家评审> 定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审并出具专家评审意见。▶ 主管部门核准> 定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。▶ 备案审核
> 定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公机关进行备案审查 , 审查不通过 , 其运营使用单位应组织重新定级。▶ 编制定级报告> 根据定级结果,结合被测评单位当地公安机关公布的定级报告模板编制信息系统定级报告。
定级方法
▶ 测评依据标准
> GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》> GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》等级测评流程
▶ 测评时间要求 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构 , 依据《信息系统安全等级保护测评要求》等技术标准 , 定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 ——信息安全等级保护管理办法(公通字 [2007]43 号) 整改指导▶ 建设整改依据> GB/T 20274-2008《信息安全技术信息系统安全保障评估框架》> GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
> GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》
> GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
