等保2.0 信息系统定级、备案、专家评审流程
等保服务流程及内容
等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1定级备案咨询1.1工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。
系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
(2)定级对象分析业务类型分析:通过对业务类型的分析,确定各系统的重要性。
管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
等保2.0信息系统定级备案专家评审流程
等保2.0:信息系统定级、备案、专家评审流程一.系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
解读:1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作,甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益:b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
5、定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
6、以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
(附件2、3)7、定级备案表和定级报告编写完成,下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表;专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。
1、等级保护对象定级工作的一般流程
等级保护对象定级工作一般流程
一、初步调查阶段
1.确定等级保护对象范围和类别
2.收集相关资料和信息,包括但不限于:
(1)历史文献资料
(2)地形地貌图
(3)现场勘察数据
(4)专家意见
二、资料整理阶段
1.对收集的资料进行整理和归档
2.初步筛选出可能的等级保护对象
3.编制初步定级报告
三、专家评审阶段
1.邀请相关专家对初步定级报告进行评审
2.收集专家意见和建议
3.修改定级报告,根据专家意见调整定级方案
四、确定定级方案阶段
1.综合各方意见,确定最终的等级保护对象名单
2.制定详细的定级方案和标准
3.确定等级保护对象的具体等级级别
五、报批审批阶段
1.将最终定级方案报请上级主管部门批准
2.等待审批结果,确保定级工作符合相关法规和标准
六、公示公告阶段
1.公布定级结果,进行公示
2.发布公告,告知相关单位和社会公众。
等保2.0的实施步骤及测评流程
等保2.0的实施步骤及测评流程一、等保2.0实施步骤1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
3、对所定级的系统进行专家评审(二级系统也需要专家评审)。
4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它系统定级备案证明材料,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
5、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见下文,实际工作中,可能需要一开始就要选定测评机构)。
6、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《测评报告》提交网监部门进行备案。
7、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
二、等级测评的流程1 测评准备活动阶段首先,被测评单位在选定测评机构后,双方签订《测评服务合同》,合同中对项目范围、项目内容、项目周期、项目实施方案、项目人员、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
同时,测评机构应签署《保密协议》。
《保密协议》一般分两种,一种是测评机构与被测单位(公对公)签署,约定测评机构在测评过程中的保密责任;一种是测评机构项目组成员与被测单位之间签署。
项目启动会后测评方开展调研,通过填写《信息系统基本情况调查表》,掌握被测系统的详细情况,为编制测评方案做好准备。
2 测评方案编制阶段该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。
方案编制活动为现场测评提供最基本的文档依据和指导方案。
等保测评流程全面介绍
等保测评流程全面介绍等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段。
一、等级保护测评的依据:依据《信息系统安全等级保护基本要求》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、向属地公安机关部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交相关部门进行备案。
6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
三、等级测评的流程:差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
签订《合同》与《保密协议》首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
等保2.0丨测评全流程
等保2.0丨测评全流程一、等保测评全流程等级保护整体流程介绍各个阶段产出的文档:二、定级备案定级备案过程及工作内容安全等级保护定级报告(大纲)依据定级指南确定目标系统的安全保护等级,同时也是对安全保护等级确定过程的说明。
1.目标业务系统描述系统的基本功能系统的责任部门系统的网络结构及部署情况采取的基本防护措施2.业务信息及系统服务的安全保护等级确定业务信息及系统服务的描述业务信息及系统服务受到破坏时所侵害客体的描述业务信息及系统服务受到破坏时对侵害客体的侵害程度业务信息及系统服务的安全等级的确定3.系统安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定三、差分整改(重点)差分整改过程关注的高风险问题1、安全物理环境这块没有包含在一个中心,三个防护的内容里面,但是也是在等保标准里面的,只不过大多数系统这块都基本满足。
2、安全区域边界通信协议转化(或者网闸)通常用于四级系统3、安全通信网络设备处理能力要看高峰期的记录。
4、安全计算环境(内容较多)5、安全管理中心6、安全管理(1)安全管理制度:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统。
(2)安全建设管理:关键设备和网络安全专用产品的使用违反国家有关规定。
(3)密码管理:密码产品与服务的使用违反国家密码管理主管部门的要求。
(4)外包开发代码审计:被测单位未对外包公司开发的系统进行源代码安全审查,外包公司也无法提供第三方安全检测证明。
(5)上线前安全检测:系统上线前未进行任何安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线。
(6)服务提供商:选择不符合国家有关规定的服务供应商。
(7)变更管理:未建立变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容;变更过程未保留相关操作日志及备份措施,出现问题无法进行恢复还原。
(8)运维工具管控:未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,如病毒、漏洞扫描等;对运维工具的接入也未进行严格的控制和审批;操作结束后也未要求删除可能临时存放的敏感数据。
信息系统安全等级保护定级--备案--测评流程图
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保2.0 | 信息系统定级、备案、专家评审流程
一.系统定级
请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部
门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
安全专家解读:1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作,甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益:b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
5、定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
6、以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
(附件2、3)7、定级备案表和定级报告编写完成,下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表;专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。
专家评审现场工作流程:专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅,甲方信息安全负责人宣布会议开始,由甲方负责人介绍公司及信息系统实际情况,专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议,专家提出建议形成专家评审意见表,现场打印由专家签字,专家评审工作完成。
二.备案需要提交的材料提交网安大队纸质版:按照纸质版文件夹内材料进行准备,提交时备案材料按照第三步提交网安大队纸质版文件夹内序号排列。
电子版压缩包要求:以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。
原件扫描件要求,分辨率300dpi---jpg格式。
纸质版:1. 信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。
应填写完整、无漏项,不得改动备案表版面格式。
机打,不可手写,单面打印。
2. 信息系统安全等级保护定级报告一式两份(定级表格处盖章)。
机打,单面打印。
3. 信息安全承诺书签字盖章。
法人亲笔签字4. 相关证件复印件
各一份:工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证、组织机构代码证(如三证合一,省略)。
5. 法人授权书(被授权人需携带本人身份证原件及复印近)。
6. 实际办公地的房产证或租房合同复印件。
7.主机托管合同或云主机租用合同的复印件。
8. 企业内部信息安全部门、技术部门组织架构人员登记信息表,左上角盖章(表格中确定两位24小时应急处置网络安全事件联系人)。
9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等),备案时需提交纸质版《信息安全等级保护备案证明使用承诺书》法人亲笔签字,加盖单位公章。
其他行业无需提交。
(备案面审提交时请按照以上顺序排列材料) 电子版压缩包要求:以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。
原件扫描件要求,分辨率300dpi---jpg格式。
1.备案表、定级报告和信息安全承诺书盖章扫描件2.备案表和定级报告word版;3.XX单位XX系统-专家评审意见(原件扫描件)4.(三级系统备案时需提交)《XX单位-信息安全工作管理制度》(word版,盖章扫面件均可)5.(三级系统备案时需提交)XX单位系统使用的安全产品清单及认证、销售许可证明(盖章扫描件)6.(三级系统备案时需提交)单位拓扑图及说明(盖章扫描件)7.三级系统需提交备案表表四全部内容。
8.信息安全部、技术部组织架构人员登记信息表,可编辑版。
9.工商营业执照副本原件扫描件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、组织机构代码证原件扫描件(如三、五证合一,省略)10.法人代表身份证原件扫描件;11.备案表表一中单位负责人身份证原件扫描件;12.从事经营性公众互联网行业及有交易投资活动的信息系统的企业需
要提交《信息安全等级保护备案证明使用承诺书》电子版文件相关格式请参考
三.现场备案人员要求
1.备案办理人员需为单位法人授权的被授权人;
2.被授权人需携带本人身份证原件、营业执照副本原件、法人授权书原件到现场
备案;
3.被授权人,应为单位网络安全分管领导(如主管副总裁或技术部门负责人),
应了解信息系统整体情况,参与日常信息系统安全运维。
四.工作提示三级系统备案,自备案证明领取之日起,30日内提交测评报告,整改实施方案可在系统测评完成后同测评报告一同提交网安部门,并每年开展一次信息系统安全等级保护测评。