网络安全等级保护测评机构管理办法

⑴ 等保2.0里规定：测评机构的选择符合国家有关规定，请问具体有关规定是什么规定

你好，在我国，测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。国家等保办编制《全国网络安全等级保护测评机构推荐目录》，并在中国网络安全等级保护网网站发布并及时更新。省级等保办应及时将本地测评机构推荐情况报国家等保办。所以企业在选择等保测评机构的时候，可以同时结合实际需求（如地理位置、费用）和等保办的推荐名单。

国家规定的网络安全等级保护测评机构应该具备以下资质和条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;

（二）产权关系明晰，注册资金 500 万元以上，独立经营核算，无违法违规记录；

（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；

（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有网络安全相关工作经历的技术和管理人员不少于 15 人，专职渗透测试人员不少于 2 人，岗位职责清晰，且人员相对稳定；

（六）具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；

（八）不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；

（九）应具备的其他条件。

初步申请通过后，申请成为等保测评机构的单位还要接受复审，主要是对测评师的要求，比如申请单位应至少有 15人获得测评师证书，其中高级测评师不少于 1 人，中级测评师不少于 5 人。对于满足申请条件，且通过复审的单位，等保办会颁发《网络安全等级保护测评机构推荐证书》。

同时，等保办会于每年 12 月份对所推荐测评机构进行年审。年审通过的，等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。年审未通过的，等保办会责令测评机构限期整改。拒不整改或整改不符合要求的，测评机构的等级测评业务会被暂停。

此外，等保测评推荐证书并不是永久性的。测评机构推荐证书有效期为三年，测评机构应在推荐证书期满前 30 日内，向等保办申请期满复审。

最后，省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中，测评机构应接受被测网络备案公安机关的监督、检查和指导。

网络安全等级保护测评机构怎么选？企业选择等级测评机构的时候要注意什么？

测评机构至少应该具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》才算是有测评资质，同时部分省份还要求测评机构在用户单位所在地级市公安网安部门备案，备案成功后方可在当地开展等级保护测评工作。

此外，企业在选择测评机构的时候，可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等来判断该测评机构的实力如何。测评的工程师是否通过CIIP-T、CISP、CISSP等技术认证也可以纳入考虑范畴。

最后，二级及以上的系统都需要通过等级测评。等级测评机构测评结束以后，要出具测评报告。测评报告模板会由公安机关提供。测评报告撰写完毕之后，还要提交给公安机关。这是必须的。

⑵ 等级保护测评到底是做什么的

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

企业办理网络安全等级保护备案的原因：

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

证书案例

⑶ 等级保护测评是什么

等级保护测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，运用科学的手段和方法。

对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

实施的基本流程：

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求。

但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。

⑷ 信息系统的信息安全等级保护的测评是必须的吗有没有专门的出台了法律法规监管细则规范了这件事

1、能不能自己测评要看你的等级保护备案时的级别，2级以上都要公安部门和上级主管部门测评的。
2、等保很多要求标准在不断修改中，建议在对自己的信息安全整改过程中，引入有资质的第三方，这样会比较容易些。 二级及以下可以自己测评，也可以不做测评。3级以上必须经过测评。

《信息安全等级保护管理办法》第十四条第一款规定： 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

⑸ 等保保护分为几级企业如何定级

等保测评分为五个级别，从一到五级别逐渐升高。等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

等保2.0时代，等保测评中的定级对象级别必须经过专家评审和主管部门审核。定级流程为：确定定级对象→初步确定等级→主管部门审核→专家评审→公安机关备案审查（最终确定等级）。

建议运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构，比如国家网络安全等级保护工作协调小组办公室推荐测评机构-时代新威（推荐理由：1、一站式等级保护服务专家，省时省心2、做过大量各行业等保测评案例。3、从事网络安全18年），依据《网络安全等级保护测评要求》等技术标准，定期对等级保护对象开展等级测评。第三级定级对象应当每年进行一次等级测评工作，第四级定级对象应当每半年进行一次等级测评工作，第五级定级对象应当依据特殊安全需求进行等级测评。

⑹ 等保测评怎么做

等保测评流程前需要准备：
1、系统定级、备案：我们会协助评估等级，客户提交备案，公安审批通过后会下发定级备案证
2、系统初次测评：出具差距测评报告
3、系统整改：安全管理制度、软件、基础架构
4、系统复测：出具等保测评报告
可以找“一站式等保服务”的测评机构，因为这种机构的话能够帮助企业整改，加快企业的整改进度，一般没有第三方测评机构协助整改的，基本上整改进度都是3-6个月甚至更久，与等保一站式的公司合作可以缩短整改的时间。整改不是说你有经验就能够很快整改完的，第三方整改会比企业自行整改更快，最快一个月左右。
企业做等级保护测评必须：依据公安部门备案过的的测评机构名册挑选具有资格的，且离自身企业间距近的测评机构来开展测评(距离近的指的是企业要挑选本地或者本市的测评机构)，并和测评机构谈好协作事项，包含测评费用多少，测评常见问题等;挑选适宜的等级保护服务整改机构，对企业等级保护工作中开展具体指导，与此同时分配专业技术人员给企业的信息系统开展整改。
最好是选择一站式等保服务的测评机构哟~

⑺ 求专业的网络安全等级保护测评机构介绍有没有好的建议

目前网络安全等级保护测评机构在全国数量并不是很多，仅有211家，其中我就对1家印象尤其深刻，来自北京等保测评机构，时代新威。

原因有三点：1、最近由时代新威组织发布了国际上第一本关于网络安全等级保护制度的英文书籍《中国网络安全等级保护制度理解与实施》英文版，这本书系统性地分析了中国的网络安全等级保护工作，解读网络安全相关法律法规，梳理网络安全等级保护工作的有关政策、标准，并对等级保护具体实施环节进行了详细说明，旨在为华外资企业、一带一路沿线国家有关企业，及时响应中国网络安全政策，开展网络安全等级保护工作提供借鉴。真的是为国争光！

2、时代新威自主研发了我国唯一的“CISP-A国家注册信息系统审计师”认证课程。

3、这家资质非常硬，2003年成立，目前是公安部批准的网络安全等级保护测评机构（证书编号：DJCP2019110192），也是全国信息安全标准化技术委员会委员单位、国际网络安全标准化技术委员会ISO/IEC JTC1/SC27专家成员单位。

总之时代新威作为等级保护安全建设服务机构，充分参与了我国网络安全等级保护制度的建立和实施，深入研究和掌握风险管理理论、等级保护理论、信息安全管理体系理论、三道防线理论，并不断将这些理论应用于等级保护、IT审计服务、网络安全咨询服务的实践中，在教育、金融、能源、电信等关键信息基础设施领域有丰富的实践经验。

⑻ 等级保护测评流程是什么

等保测评全称信息安全等级保护测评，是经公安部门认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。
如何进行等保测评?具体流程如下：
1、系统定级，对业务、资产、安全技术和安全管理进行调研，确定定级系统，准备定级报告，提供协助定级服务，辅助用户完成定级报告，组织专家评审。
2、定级备案，持定级报告和备案表到所在地公安网监进行系统备案。
3、整改建设，参照定级要求和标准，对信息系统整改加固，建设安全管理体系。
4、等级测评，测评机构对信息系统等级测评，形成测评报告。
5、监督检查，监督、检查、自查，整改，违法违规情况，依法处理。

⑼ 等级保护测评流程

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

网络安全等级保护备案分五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例