網路安全測評條款

⑴ 信息系統的信息安全等級保護的測評是必須的嗎有沒有專門的出台了法律法規監管細則規范了這件事

1、能不能自己測評要看你的等級保護備案時的級別，2級以上都要公安部門和上級主管部門測評的。
2、等保很多要求標准在不斷修改中，建議在對自己的信息安全整改過程中，引入有資質的第三方，這樣會比較容易些。 二級及以下可以自己測評，也可以不做測評。3級以上必須經過測評。

《信息安全等級保護管理辦法》第十四條第一款規定： 信息系統安全保護等級為第三級的信息系統應當每年至少進行一次等級測評。

⑵ 信息安全測評是什麼只有等級保護嗎

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段，山東省軟體評測中心作為公安部授權的第三方測評機構，為企事業單位提供免費專業的信息安全等級測評咨詢服務。

信息安全等級保護測評工作是等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標准，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動.

等級測評體系建設主要內容包括測評機構的建設和規范管理，測評人員和測評活動的規范管理等。信息安全等級保護測評工作是信息安全等級保護工作的重要環節，是專門機構針對信息系統開展的一種專業性、服務性的檢測活動。

等級測評工作涉及的信息系統范圍廣、敏感性強，參與的測評機構及測評人員復雜，如果缺乏對測評機構和測評人員的管理，則難以保證等級測評的客觀、公正和安全，甚至會給重要信息系統安全造成新的風險和隱患，危害國家安全和社會穩定。

為加強對測評機構及測評人員管理，穩步推進等級測評機構建設，規范等級測評活動，提高測評機構、人員的技術能力和水平，在國家信息安全等級保護協調小組的領導下，全國組織開展信息安全等級保護等級測評體系建設工作，以保障等級保護工作的順利開展。

(2)網路安全測評條款擴展閱讀：

工作內容

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。

信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。

信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現。

另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關聯關系，共同作用於信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。

因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

參考資料來源：網路-信息安全等級保護

⑶ 什麼是信息安全等級保護，評測標准

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

等級保護測評流程是：

1、摸底調查：摸清信息系統底數，掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。

2、確立定級對象：應用系統應按照業務類別不同單獨確定為定級對象，不以系統是否進行數據交換、是否獨享設備為確定定級對象。

3、系統定級：定級是信息安全等級保護工作的首要環節，是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。

4、專家批審和主管部門審批：運營使用單位或主管部門在確定系統安全保護等級後，可以聘請專家進行評審。

5、備案：備案單位準備備案工具，填寫備案表，生成備案電子數據，到公安機關辦理備案手續。

6、備案審核：受理備案的公安機關要及時公布備案受理地點、備案聯系方式等，對備案材料進行完整性審核和定級准確審核。

7、系統測評：第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。

8、整改實施：根據測評結果進行安全要求整改。

⑷ 什麼是網路安全等級保護啊

你好，網路安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網路安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構，依據《信息安全技術網路安全等級保護基本要求》等技術標准，定期對信息系統開展測評工作。

《網路安全法》 明確規定信息系統運營、使用單位應當按照網路安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會受到相應處罰。下面是網路安全等級保護等級劃分及適用行業說明：

第一級（自主保護級）：一般適用於小型私營、個體企業、中小學，鄉鎮所屬信息系統、縣級單位中一般的信息系統。信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級（指導保護級）：一般適用於縣級其些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級（監督保護級）：一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統，例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省（區、市）門戶網站和重要網站；跨省連接的網路系統等。 信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級（強制保護級）：一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級（專控保護級）：一般適用於國家重要領域、重要部門中的極端重要系統。信息系統受到破壞後，會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級准則和等級劃分。

最後，二級及以上的信息系統都需要進行等級測評，且等級測評並不是做一次就可以，二級系統每兩年至少進行一次測評，三級系統每年至少進行一次測評，四級系統每半年至少進行一次測評。

測評周期

⑸ 信息系統安全等級保護測評流程是什麼

信息系統安全等級保護測評准備活動的工作流程：

信息系統安全等級保護測評准備活動的目標是順利啟動測評項目，准備測評所需的相關資料，為順利編制測評方案打下良好的基礎。

信息系統安全等級保護測評准備活動包括項目啟動、信息收集和分析、工具和表單准備三項主要任務。這三項任務的基本工作流程見下圖：

一、項目啟動

在項目啟動任務中，測評機構組建等級測評項目組，獲取測評委託單位及被測系統的基本情況，從基本資料、人員、計劃安排等方面為整個等級測評項目的實施做基本准備。

輸入：委託測評協議書。

任務描述：

a) 根據測評雙方簽訂的委託測評協議書和系統規模，測評機構組建測評項目組，從人員方面做好准備，並編制項目計劃書。項目計劃書應包含項目概述、工作依據、技術思路、工作內容和項目組織等。

b) 測評機構要求測評委託單位提供基本資料，包括：被測系統總體描述文件，詳細描述文件，安全保護等級定級報告，系統驗收報告，安全需求分析報告，安全總體方案，自查或上次等級測評報告（如果有），測評委託單位的信息化建設狀況與發展以及聯絡方式等。

輸出/產品：項目計劃書。

二、 信息收集和分析

測評機構通過查閱被測系統已有資料或使用調查表格的方式，了解整個系統的構成和保護情況，為編寫測評方案和開展現場測評工作奠定基礎。

輸入：調查表格，被測系統總體描述文件，詳細描述文件，安全保護等級定級報告，系統驗收報告，安全需求分析報告，安全總體方案，自查或上次等級測評報告（如果有）。

任務描述：

a) 測評機構收集等級測評需要的各種資料，包括測評委託單位的各種方針文件、規章制度及相關過程管理記錄、被測系統總體描述文件、詳細描述文件、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、用戶指南、運行步驟、網路圖表、配置管理文檔等。

b) 測評機構將調查表格提交給測評委託單位，督促被測系統相關人員准確填寫調查表格。

c) 測評機構收回填寫完成的調查表格，並分析調查結果，了解和熟悉被測系統的實際情況。分析的內容包括被測系統的基本信息、物理位置、行業特徵、管理框架、管理策略、網路及設備部署、軟硬體重要性及部署情況、范圍及邊界、業務種類及重要性、業務流程、業務數據及重要性、業務安全保護等級、用戶范圍、用戶類型、被測系統所處的運行環境及面臨的威脅等。這些信息可以重用自查或上次等級測評報告中的可信結果。

d) 如果調查表格填寫不準確或不完善或存在相互矛盾的地方較多，測評機構應安排現場調查，與被測系統相關人員進行面對面的溝通和了解。

輸出/產品：填好的調查表格。

三、工具和表單准備

測評項目組成員在進行現場測評之前，應熟悉與被測系統相關的各種組件、調試測評工具、准備各種表單等。

輸入：各種與被測系統相關的技術資料。

任務描述：

a) 測評人員調試本次測評過程中將用到的測評工具，包括漏洞掃描工具、滲透性測試工具、性能測試工具和協議分析工具等。

b) 測評人員模擬被測系統搭建測評環境。

c) 准備和列印表單，主要包括：現場測評授權書、文檔交接單、會議記錄表單、會議簽到表單等。

輸出/產品：選用的測評工具清單，列印的各類表單。

⑹ 網路安全等保測評的人員要求一般是什麼

三級等保每年測評一次，二級等保兩年測評一次。二級至少應具有6名以上等級測評師，其中中級測評師不少於2名；三級（含）以上信息系統等級測評工作的測評機構至少應具有 10 名以上等級測評師，其中中級測評師不少於4名，高級測評師不少於2名。

網路安全等級保護一共分五級：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

⑺ 網路安全認證，檢測，風險評估應遵循哪些規定

由於網路安全影響范圍廣，信息敏感性強，容易造成社會大眾心理及輿論恐慌等問題，所以，開展網路安全認證、檢測、風險評估等活動，應當遵守國家有關規定，堅持慎重、及時、准確的原則，向社會發布系統漏 洞、計算機病毒、網路攻擊、網路侵入等網路安全信息。開展網路安全認證、檢測、風險評估等活動，向社 會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息，應當遵守國家有關規定。
希望可以幫到您，！

⑻ 簡述網路安全的相關評估標准.

1 我國評價標准

1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級（GB3安全級）：除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問許可權，實現對訪問對象的強制保護。
l 第4級為結構化保護級（GB4安全級）：在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級（GB5安全級）：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國，信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始，自主制定和採用了一批相應的信息安全標准。但是，應該承認，標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距，使我國的信息安全標准化工作與國際已有的工作相比，覆蓋的范圍還不夠大，宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准

根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則（Trusted Computer Standards Evaluation Criteria，TCSEC），即網路安全橙皮書，一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如資料庫和網路）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性，安全標識
B
B1
標識的安全保護
強制存取控制，安全標識
B2
結構化保護
面向安全的體系結構，較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別，擁有這個級別的操作系統就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對於硬體來說，沒有任何保護措施，操作系統容易受到損害，沒有系統訪問限制和數據訪問限制，任何人不需任何賬戶都可以進入系統，不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護（Discretionary Security Protection）系統，它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護，如用戶擁有注冊賬號和口令，系統通過賬號和口令來識別用戶是否合法，並決定用戶對程序和信息擁有什麼樣的訪問權，但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外，應該具有訪問控制環境（Controlled Access Environment）權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權，而且還加入了身份認證等級。另外，系統對發生的事情加以審計，並寫入日誌中，如什麼時候開機，哪個用戶在什麼時候從什麼地方登錄，等等，這樣通過查看日誌，就可以發現入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外，還加入了身份認證級別，這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組，授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種：
（1）UNIX系統；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B級中有三個級別，B1級即標志安全保護（Labeled Security Protection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處於強制性訪問控制之下的對象，系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別，這種安全級別的計算機系統一般在政府機構中，比如國防部和國家安全局的計算機系統。
B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁碟、磁帶和終端）分配單個或者多個安全級別。
B3級，又叫做安全域（Security Domain）級別，使用安裝硬體的方式來加強域的安全，例如，內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級，又稱驗證設計（Verified Design）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證，而且必須進行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含義是：硬體和軟體在物理傳輸過程中已經受到保護，以防止破壞安全系統。橙皮書也存在不足，TCSEC是針對孤立計算機系統，特別是小型機和主機系統。假設有一定的物理保障，該標准適合政府和軍隊，不適合企業，這個模型是靜態的。

⑼ 國家網路安全法規具體條款在哪裡麻煩知道的

網路安全相關政策法規網址
1. 中國計算機信息網路政策法規
http: //www .cnnic .net .cn/index/OF/index .htm
2. 2005年9月27日互聯網新聞信息服務管理規定
http://www .cnnic.net .cn./html/Dir/2005/09/27/3184. htm
3. 互聯網著作權行政保護辦法
http://www .cnnic .net .cn/html/Dir/2005 /05 /25 /2962 .htm
4. 電子認證服務管理辦法
http://www .cnnic.net .cn/html/Dir/2005 /02 /25 /2784 .htm
5. 互聯網IP地址備案管理辦法
http://www .cnnic .net .cn/html/Dir/2005/02/25/2783 .Htm
6. 非經營性互聯網信息服務備案管理辦法
http://www .cnnic.net.cn/html /Dir/2005 /02 /25 /2782 .
7. 中國互聯網路域名管理辦法
http://www.cnnic.net .cn/html/ Dir /2004／11/25/2592.htm
8. 信息產業部關於從事域名注冊服務經營者應具備條件法律適用解釋的通告
http:：//www．clinic．net．cn/html/ Dir /2004 /08 /02 /2431.htm
9. 中華人民共和國信息產業部關於加強我國互聯網路域名管理工作的公告
http://www.cnnlc.net .cn/html/ Dir /2004/08/02/2432.htm
10. 中國互聯網路信息、中心域名注冊服務機構變更辦法
http://www .clinic .net .cn/html/ Dir 2004/08/02/433 .htm
11. 中國互聯網路信息中心域名爭議解決辦法程序規則
http://www .clinic .net .cn/html/ Dir /2003／10/29/1103 .htm
12. 中國國互聯網路信息中心域名注冊實施細則
http://www.clinic.net.cn/mil /Dit/2003／10/29／1105.htm
13. 中國互聯網路信息中心域名爭議解決辦法
http://www.clinic.net．cnhtml/Dir/2003/10/29/1104.htm
14. 中國互聯網路信息中心域名注冊服務機構認證辦法
http://www .cnnic.net .cn/html/ Dir/2003／10 /30／1115.hrm
15. 計算機信息網路國際聯網安全保護管理辦法
http://www.cnnic.net .cn/html/Dir/1997/12/11 /0650．htm
16. 中華人民共和國計算機信息網路國際聯網管理暫行規定實施辦法
http://www .cnnic .net .cn/html Dir /1997/12/08/0649.htm
17. 中國互聯網路域名注冊實施細則
http://www.cnnic.net .cn/html/ Dir/1997/06/15/0648.htm
18. 中國互聯網路域名注冊暫行管理辦法
http://www.cnnic.net .cnAtml/ Dir/1997/05/30/0647.htm
19. 中華人民共和國計算機信息網路國際聯網管理暫行規定
http://www .cnnic .net .cn/html/ Dir/1997/05/20/0646.htm
20. 關於加強計算機信息系統國際聯網備案管理的通告
http://www .cnnic.net .cn/html/Dir/1996/02/16/0645.htm
21. 中華人民共和國計算機信息系統安全保護條例
http://www .cnnic.net .cn/html/Dir/1994/02/18/0644.htm