等級(jí)保護(hù)相關(guān)知識(shí)真是很多

等級(jí)保護(hù)標(biāo)準(zhǔn)

等級(jí)保護(hù)定級(jí)備案

等級(jí)保護(hù)差距測(cè)評(píng)

等級(jí)保護(hù)安全加固

等級(jí)保護(hù)測(cè)評(píng)

等級(jí)保護(hù)監(jiān)督檢查

等級(jí)保護(hù)相關(guān)資質(zhì)

1、等級(jí)保護(hù)標(biāo)準(zhǔn)有哪些？

* GB 17859-1999 《計(jì)算機(jī)信息系統(tǒng) 安全等級(jí)保護(hù)劃分準(zhǔn)則》

* GB/T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》

* GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

* GB/T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

* GB/T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

* GB/T 25058-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》

* GB/T 28449-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》

* GB/T 36959-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》

* GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》

其他相關(guān)法律和規(guī)范

* 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定必須要做等級(jí)保護(hù)

* 信息安全測(cè)評(píng)聯(lián)盟“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引”（暫未正式發(fā)布）

2、等級(jí)保護(hù)定級(jí)備案

1）等級(jí)保護(hù)定級(jí)準(zhǔn)備

依照GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》和上級(jí)主管部門要求對(duì)信息系統(tǒng)進(jìn)行定級(jí)。
信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全等級(jí)。

2）等級(jí)保護(hù)定級(jí)專家評(píng)審

等級(jí)保護(hù)行業(yè)相關(guān)專家3人，企業(yè)方負(fù)責(zé)等級(jí)保護(hù)項(xiàng)目的項(xiàng)目經(jīng)理，網(wǎng)絡(luò)管理員、運(yùn)維管理員，應(yīng)用管理員等。會(huì)議過(guò)程中，專家可能會(huì)對(duì)信息系統(tǒng)的基本狀況進(jìn)行詢問(wèn)。如：網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)主體，服務(wù)對(duì)象，數(shù)據(jù)備份情況，安全運(yùn)維情況等。

專家評(píng)審流程：專家簽到 → 確定專家組組長(zhǎng) → 定級(jí)闡述 → 專家就定級(jí)相關(guān)問(wèn)題進(jìn)行提問(wèn) → 專家對(duì)定級(jí)結(jié)果進(jìn)行討論 → 修改專家評(píng)審意見(jiàn) → 簽字 → 定級(jí)評(píng)審會(huì)議結(jié)束。

3）等級(jí)保護(hù)備案提交資料

第二級(jí)以上信息系統(tǒng)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位或者其主管部門（以下簡(jiǎn)稱“備案單位”）到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。辦理備案手續(xù)時(shí)，應(yīng)先與所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦（所在地網(wǎng)安大隊(duì)）取得聯(lián)系，詢問(wèn)所需的備案材料，不同地區(qū)所需的備案材料不盡相同。

依照網(wǎng)安大隊(duì)的要求將備案資料準(zhǔn)備齊全后，到網(wǎng)安大隊(duì)進(jìn)行備案。

備案時(shí)應(yīng)提交的材料（不同地區(qū)備案資料不完全一樣）

* 定級(jí)報(bào)告，紙質(zhì)版一式兩份加蓋公章 電子版一份刻錄光盤（紙質(zhì)版掃描件）

* 備案表

* 工商營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證和稅務(wù)登記證 或三證合一，復(fù)印件一份加蓋公章，原件掃描件刻錄光盤。

* 法人身份證，如非法人親自辦理備案則需要法人授權(quán)書(shū)（法人親筆簽字）、被授權(quán)人身份證。

* 網(wǎng)絡(luò)安全承諾書(shū)

* 24小時(shí)緊急聯(lián)系人

* 三級(jí)及以上信息系統(tǒng)提供備案表表四中的全部?jī)?nèi)容。

* 對(duì)應(yīng)管理區(qū)網(wǎng)安大隊(duì)要求提供的其他資料

4）網(wǎng)安部門受理
辦理備案前應(yīng)先與網(wǎng)安支隊(duì)或網(wǎng)安總隊(duì)約定好備案時(shí)間，并準(zhǔn)時(shí)到達(dá)網(wǎng)安支隊(duì)或網(wǎng)安總隊(duì)辦理備案。經(jīng)審核符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)應(yīng)當(dāng)自收到備案材料之日起的十五個(gè)工作日內(nèi)，將加蓋本級(jí)公安機(jī)關(guān)印章（或等級(jí)保護(hù)專用章）的《備案表》一份反饋備案單位，一份存檔；對(duì)不符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備案單位進(jìn)行整改，并出具《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》。
備案通過(guò)的單位，將獲得信息系統(tǒng)安全等級(jí)保護(hù)備案證明。

3、等級(jí)保護(hù)差距分析

相當(dāng)于等級(jí)保護(hù)的差距測(cè)評(píng)（可選，不強(qiáng)制），對(duì)信息系統(tǒng)預(yù)先進(jìn)行的一次模擬測(cè)評(píng)，目的是發(fā)現(xiàn)信息系統(tǒng)安全現(xiàn)狀與國(guó)家等級(jí)保護(hù)對(duì)應(yīng)等級(jí)安全防護(hù)能力之前的差距，出具差距分析報(bào)告及整改意見(jiàn)報(bào)告。

1）現(xiàn)場(chǎng)訪談
測(cè)評(píng)工程是在測(cè)評(píng)過(guò)程中需要網(wǎng)絡(luò)管理員、服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用管理員等人員進(jìn)行現(xiàn)場(chǎng)配合，主要的工作方式為：測(cè)評(píng)工程師說(shuō)明需要檢查哪些相關(guān)的安全策略，由客戶方的工程師進(jìn)行操作查詢，測(cè)評(píng)工程師負(fù)責(zé)記錄。人員：網(wǎng)絡(luò)管理員、服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用管理員等。文檔：公司所有有關(guān)的安全管理制度、規(guī)范、手冊(cè)等。
2）滲透測(cè)試及漏洞掃描
等級(jí)保護(hù)二級(jí)信息系統(tǒng)需進(jìn)行漏洞掃描，三級(jí)信息系統(tǒng)需進(jìn)行滲透測(cè)試，整改完成需再次進(jìn)行測(cè)試驗(yàn)證，確認(rèn)漏洞修復(fù)有效。

3）差距整改建議

結(jié)合企業(yè)自身情況進(jìn)行整改。依據(jù)信息安全測(cè)評(píng)聯(lián)盟的“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引”進(jìn)行高風(fēng)險(xiǎn)判定，同時(shí)在滲透測(cè)試和漏洞掃描中發(fā)現(xiàn)的高、中危漏洞必須修復(fù)，如漏洞修復(fù)會(huì)對(duì)企業(yè)的相關(guān)業(yè)務(wù)造成影響可采用其它方式降低漏洞被利用的可能性，例如限制訪問(wèn)，更改端口號(hào)等。信息系統(tǒng)整改時(shí)需注意企業(yè)所投入的人力、物力、財(cái)力，綜合考量后再?zèng)Q定整改那些不符合項(xiàng)。

4、等級(jí)保護(hù)安全加固

根據(jù)等級(jí)保護(hù)差距分析結(jié)果，出具安全加固及整改建議方案，并根據(jù)方案進(jìn)行整改，包括：系統(tǒng)補(bǔ)丁升級(jí)、網(wǎng)絡(luò)及安全產(chǎn)品配置整改、增加相應(yīng)的安全產(chǎn)品、各種環(huán)境整改、制度評(píng)估及整改等。

5、等級(jí)保護(hù)測(cè)評(píng)

擁有國(guó)家等級(jí)測(cè)評(píng)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)企業(yè)的信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，并出具等級(jí)測(cè)評(píng)報(bào)告，二級(jí)一般2年測(cè)評(píng)一次，三級(jí)1年測(cè)評(píng)一次，其他等級(jí)一般涉及不多，暫不做介紹。

1）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的四個(gè)階段

2）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的基本內(nèi)容

6、等級(jí)保護(hù)監(jiān)督檢查

公安機(jī)關(guān)開(kāi)展等級(jí)保護(hù)監(jiān)督檢查，其目的在于全面了解掌握各行業(yè)、各地區(qū)、各單位網(wǎng)絡(luò)安全等級(jí)保護(hù)、等級(jí)測(cè)評(píng)、安全建設(shè)整改等工作部署和貫徹落實(shí)情況，總結(jié)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的成功經(jīng)驗(yàn)，查找分析工作中存在的突出問(wèn)題，督促、指導(dǎo)各備案單位進(jìn)一步落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的各項(xiàng)要求，建立健全等級(jí)保護(hù)監(jiān)督檢查工作的長(zhǎng)效機(jī)制。檢查核實(shí)信息系統(tǒng)運(yùn)營(yíng)使用、建設(shè)單位的等級(jí)保護(hù)工作開(kāi)展和落實(shí)情況，重點(diǎn)督促、檢查安全設(shè)施、安全措施、安全管理制度、安全責(zé)任、責(zé)任部門和人員。

① 等級(jí)保護(hù)工作組織開(kāi)展、實(shí)施情況。安全責(zé)任落實(shí)情況，信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況；
② 按照網(wǎng)絡(luò)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實(shí)施方案和落實(shí)情況；
③ 信息系統(tǒng)定級(jí)情況，信息系統(tǒng)變化及定級(jí)變動(dòng)情況；
④ 設(shè)施建設(shè)情況和整改情況；
⑤ 網(wǎng)絡(luò)安全管理制度建設(shè)和落實(shí)情況；
⑥ 網(wǎng)絡(luò)安全保護(hù)技術(shù)措施建設(shè)和落實(shí)情況；
⑦ 選擇使用網(wǎng)絡(luò)安全產(chǎn)品情況；
⑧ 聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)按規(guī)范要求開(kāi)展技術(shù)測(cè)評(píng)工作情況，根據(jù)測(cè)評(píng)結(jié)果開(kāi)展整改情況；
⑨ 自行定期開(kāi)展自查情況；
⑩ 開(kāi)展網(wǎng)絡(luò)安全知識(shí)和技能培訓(xùn)情況。

7、等級(jí)保護(hù)相關(guān)資質(zhì)

1）信息安全等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)能力評(píng)估合格證書(shū)主要面向等級(jí)保護(hù)安全建設(shè)服務(wù)方面，此證書(shū)對(duì)申請(qǐng)企業(yè)只有能力限制，無(wú)對(duì)象限制要求。

除此之外，有些安全廠商為了給客戶提供卻更專業(yè)的安全集成和全生命周期安全服務(wù)，還擁有其它業(yè)界認(rèn)可的相關(guān)權(quán)威資質(zhì)：

CCRC信息安全集成服務(wù)資質(zhì)認(rèn)證
CCRC信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證
國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書(shū)（風(fēng)險(xiǎn)評(píng)估類）
國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書(shū)（安全工程類）
國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書(shū)（安全開(kāi)發(fā)類）
工業(yè)信息安全應(yīng)急服務(wù)支撐單位證書(shū)

2）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)
主要面向等級(jí)保護(hù)安全測(cè)評(píng)服務(wù)方面，此證書(shū)對(duì)申請(qǐng)企業(yè)有一定限制，安全產(chǎn)品廠商或軟件開(kāi)發(fā)廠商不能申請(qǐng)，不能向用戶推薦產(chǎn)品品牌等要求。