网络安全等级专家评审

⑴ 关于 信息安全等级保护 有几个问题想咨询下大家，因为要申请等保3级，知道的朋友帮忙解答，可以追分

等级保护是国家强制执行的，只是目前是才开展没几年，执行力度还没起来；
会产生费用，首先是整个从定级到测评，要请第三方测评机构进行测评，需要测评费用；其次是如果需要整改的多，可能会需要添置一点设备；至于备案、监督检查不存在费用。
3级每天要测评一次，也就是说有效期是1年，第一次做好了后面就自然不用担心了。

⑵ 等级保护工作有哪些规定动作

等级保护工作遵循相关的法律法规，具备完善的政策流程支撑，有规定的流程动作。以下就是等级保护工作的基本流程

1.1 基本实施流程图

1.1.1 系统识别与定级

1. 确定定级对象：根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。

2. 初步确定等级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度，综合判定侵害程度。初步确定系统的等级。

3. 专家评审：定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

4. 主管部门审核：完成专家评审后，应将初步定级结果上报行业主管部门或上级主管部门进行审核。

5. 公安机关审核：将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

1.1.2 系统备案

1. 资料准备：由信息系统运营使用单位准备备案材料，填写《信息系统安全等级保护备案表》

2. 系统备案：由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续

3. 受理备案和审核:公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定

1.1.3 等级保护测评

信息系统运营使用单位需要聘请经过认证的安全测评机构，依据《信息系统安全等级保护管理办法》和《信息系统安全等级保护测评要求》及《信息系统安全等级保护测评过程指南》标准，对信息系统安全保护状况开展等级测评，按照《信息系统安全等级测评报告模板》（2019版）编写等级测评报告。

等级保护测评工作采取询问情况、查问和核对材料、调看记录和资料、现场查验、渗透测试、漏洞扫描等方式进行。通过等级测评，分析判断目前信息系统所采取的安全措施与等级保护标准要求之间的差距，分析安全方面存在的问题，查找信息系统安全保护建设整改需要解决的问题，形成安全建设整改的安全需求。

1.1.4 整改

根据等级保护测评结果和整改建议，运营单位按照等级保护要求和相关规范和标准，进行安全建设。制定安全管理制度、完善安全设施安全手段，落实安全技术措施。

1.1.5 周期性监督检查

公安机关依据管理办法和检查规范不定期对运营使用单位的信息系统进行安全监督、检查、指导，如发现未履行等级保护职责，公安机关可以依法进行相应处罚，处罚标准参考《中华人民共和国网络安全法》《中华人民共和国刑法》《网络安全等级保护条例》。

⑶ 等级保护测评，哪里可以帮忙办

可以办理的，等级保护测评的办理流程：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

办理等级保护测评的原因：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。落实个人及单位的网络安全保护义务，合理规避风险。

⑷ 详细信息安全等级保护测评流程

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

网络安全等级保护备案共分为五级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例

⑸ 如何申请 信息安全等级保护检测资质

信息安全等级保护的办理流程：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

⑹ 信息安全等级保护二级的认证（等保二级）的流程

可以办理的，公司办理等保二级的流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

公司办理等保二级的要求有两个：

技术要求

1、物物理安全

2、网络安全

3、主机安全

4、应用安全

5、数据安全

管理要求

1、安全管理机构

2、安全管理制度

3、人员安全管理

4、系统建设管理

5、系统运维管理

证书案例

⑺ 网络安全等级保护定级备案怎么办理

1、第一步：定级

定级依据是《信息系统安全等级保护定级指南》。定级流程为：确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。

第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

同时，等级保护对象的级别由两个定级要素决定：

①受侵害的客体，分三个方面，即：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。

②对客体的侵害程度，分三种程度，即：造成一般损害；造成严重损害；造成特别严重损害。

2、第二步：准备备案材料

备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。第三级及以上的信息系统需要提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

3、第三步：提交备案材料

定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的，在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，在收到备案材料之日起的10个工作日内通知备案单位予以纠正。

⑻ 等级保护定级标准是什么

2020年4月28日，国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》，且该指南将于2020年11月1日正式实施。需要对信息系统进行定级的企业可以以此为定级依据。

根据规定，信息系统一共分五个等级，由一到五级别逐渐升高。

信息系统的五个等级

等级保护对象的级别由两个定级要素决定：①受侵害的客体。分三个方面，即：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全；②对客体的侵害程度。分三种程度，即：造成一般损害；造成严重损害；造成特别严重损害。

等级保护对象定级工作流程一般为：确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核，最终确定其安全等级。初步确定为第一级的等级保护对象，可不进行专家评审、主管部门批准和公安机关审核。

⑼ 广州本地的网络安全服务商，可以做等级保护二级评测的，麻烦推荐一下

可以办理的，等级保护二级测评流程是：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

备注：这个办理几级是根据专家判断来定；

⑽ 等级保护新标准2.0解读

2019年，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

下面是等保2.0三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保1.0到等保2.0，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。