欢迎光临:您是本站的第278673个访客
旧版网站 公众号 小程序 联系我们
您现在所在的位置: 首页 > 资质服务 > 企业认证

网络安全等级保护备案

点击咨询

网络安全等级保护

对信息系统分等级进行安全保护和监管; 对信息安全产品的使用实行分等级管理; 对信息安全事件实行分等级响应、处置。


就是将全国的信息系统(包括网络)按照重要性和受破坏后的危害 性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二 级以上系统到公安机关备案,公安机关审核合格后颁发备案证明;各单 位各部门根据系统等级按照国家标准进行安全建设整改;聘请测评机构 进行等级测评;公安机关定期开展监督、检查、指导。


“定级、备案、安全建设整改、等级测评、检查”五个规定动作


法 规 依 据

基础文件

《中华人民共和国计算机信息系统安全保护条例》(1994年 国务院147号令)

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)


总体文件

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护管理办法》(公通字[2007]43号)

《网络安全等级保护条例(征求意见稿)》


具体环节文件

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)

《信息安全等级保护备案实施细则》(公信安[2007]1360号)

《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)

《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)

《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》2018年1月19日

《中华人民共和国网络安全法》已自 2017 年 6 月 1 日起施行。


第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制 性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范 网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。


第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,  履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被 窃取、篡改。


第三十一条 国家对公共通信和信息服务、能源、交通、水利、 金融、公共服务、电子政务等重要行 业和领域,以及其他一旦遭到破 坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公 共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施 的具体范围和安全保护办法由国务院制定。


第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者 有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。


1aef9d3dead9c44556b6831a2acf3d86.png

2114b487069c0105dc14119a8cb74afc.png782257ae674378cdba2976db16eb6f47.png

团队优势

领先的技术与服务:专注新一代安全技术与服务十余年

丰富的等保成功经验:金融、政府近百成功案例

完善的服务方法论:领先的安全框架和咨询服务流程

专业的服务资质:CISP/CISSP/等保测评师

测试机构简介


中国信息通信研究院(以下简称“中国信通院”,官方网站:www.caict.ac.cn)始建于 1957 年,是工业和信息化部直属科研事业单位。多年来,中国信通院始终秉持国家高端专业智库 产业创新发展平台的发展定位,在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用,为我国通信业跨越式发展和信息技术产业创新壮大起到了重要推动作用。近年来,适应经济社会发展的新形势新要求,围绕国家“网络强国”和“制造强国”新战略,中国信通院着力加强研究创新,在强化电信业和互联网研究优势的同时,不断扩展研究领域、提升研究深度,在 4G/5G、工业互联网、智能制造、移动互联网、物联网、车联网、未来网络、云计算、大数据、人工智能、未来网络、虚拟现实/增强现实(VR/AR)、智能硬件、网络与信息安全等方面进行了深入研究与前瞻布局,在国家信息通信及信息化与工业化融合领域的战略和政策研究、技术创新、产业发展、安全保障等方面发挥了重要作用,有力支撑了互联网+、中国制造 2025、宽带中国等重大战略与政策出台和各领域重要任务的实施。


资质


326bc336dfbcc3f181086fac8591b8b5.png


人员


目前,我院专业从事网络信息安全工作人员 193 人,业务涵 盖国家信息通信领域安全方面战略规划、法律法规研究;安全技 术标准研制、安全监管支撑;网络、系统和设备安全评测、国家 科研专项等方面。其中:高级职称 40 人;博士 36 人,硕士 64 人;专业获证 CISSP 3 人,CISA 1 人,CISP 8 人,CCIE 1 人, PMP2 人,CISAW37 人。 

 其中等级保护测评师 44 人,高级 2 人,中级 11 人,初 级 31 人(等级保护官网 www.djbh.net 可查)。



获奖


历年重大活动保障工作中,支撑中央网信办、公安部和工信部圆满完成全国两会、博鳌亚洲论坛、金砖会议、“一带一路”国际合作高峰论坛、“十九大”网络安全保障工作,并荣获“一带一路”国际合作高峰论坛安保贡献突出集体的表彰称号,有力支撑国家一系列重大活动网络安全保重工作。


db605615b0d364be5c90f4effe0ac1dd.png


等级保护简介


一、等级保护流程


等级保护流程为系统定级、系统备案、系统整改、系统测评、监督检查,共五个部分。其中测评单位可实施和协助实施的如下图:


f1bdb7e672e927c96540d1915595bc45.png


1、系统定级

被测单位首先应核实系统相关信息,对需要测评的系统进行定级,编写定级报告和系统介绍 PPT,邀请专家对被测系统的定级结果进行审核。


2、系统备案

被测单位根据公安机关的要求,准备备案相关材料,包括但不限于:备案表、定级报告、专家评审意见、保证书、三证合一、房屋租赁合同等。将所准备的材料提交给被测单位所属公安部门的网安。备案成功后公安会将备案证明发给备案系统所在单位。


3、系统测评根据等级保护标准要求,对被测系统进行检测,依据检测结果,出具测评报告,用以证明被测系统是否满足等级保护测评要求。


二、等级保护工作内容


针对被测系统从技术和管理两个方面进行检测,技术方面包括:物理、网络、主机、应用和数据,共 5 个方面;管理方面包括:制度、机构、人员、建设和运维,共 5

个方面,请见下表: 


cb61994ca95a7759624af466c2a0cc99.png


三、等级保护三级系统基本设备


548b83d14a490a6c1e98e46900d3e946.png

1c4d16b9b41ef86ea924be5a7bd2e245.png


四、等级保护测评实施过程及所需时间


等级保护测评时间主要分成如下五部分:


1、信息收集与沟通(3-5 天)

通过被测单位提供的备案表、定级报告、测评申请书,与被测单位进行沟通,确定测评对象和范围,根据测评范围编写测评方案,准备现场测评材料。


2、现场测评(3-5 天)

根据测评方案和测评对象,在被测单位充分配合的情况下,针对 290 项测评项,采取访谈、检查、技术测试、文档审查等手段对被测系统进行检查。(一个系统,被测机房在同一区域,被测服务器不超过 10 台,应用 5 个以内)根据系统问题出具问题单。3、系统整改(根据被测系统整改情况确定时间)被测单位根据问题单和单位实际情况对测评过程中发现的问题进行整改、加固。由于可能涉及机房改造、设备购买等情况,整改时间可能较长。


4、系统复测(3-5 天)

被测系统完成整改后,进行复测(最终检测),主要针对初测时发现的问题,复测检查。


5、报告编写(4-8 天)

系统复测完成后,测评师检测系统是否存在高风险问题,如系统无高风险问题且达到 60 分,则出具“基本符合”结论的测评报告;如系统尚存在高风险或者未达到 60分,则出具“不符合”结论的测评报告。完成的报告需要内部专家进行评审,评审后加盖 DJCP 专用章。


五、测评费用


根据 2016 年中关村信息安全测评联盟等级测评项目收费指导意见请见下表:


6d7b33b7e0a226044f8c318386930bcc.png


六、可开展测评工作的地域


北京、四川、河南、河北、宁夏根据《信息安全等级测评机构管理办法》第十九条规定,所有测评单位均可异地开展测评工作,所以各省网安均不提供入网证明。


第十九条 测评机构提供测评服务不受地域、行业、领域的限制。测评项目采取登记管理。测评机构在实施测评项目之前,须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统(以下简称“项目管理系统”)。


第二十条 省级以上等保办对测评机构填报的信息应在5 个工作日内进行审核确认。逾期未审核确认的,项目管理系统默认审核通过。