等保测评--网络安全等级保护工作流程

网络安全等级保护工作流程

运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：

1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息安全技术 网络安全等级保护定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评过程详见网络安全等级保护测评过程指南）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

等级保护分级要求

第一级：用户自主保护级（自主保护级），目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的;

第二级：系统审计保护级（指导保护级），二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次;

第三级：安全标记保护级（监督保护级），三级信息系统应当每年至少进行一次等级测评;

第四级：结构化保护级（强制保护级），四级信息系统应当每半年至少进行一次等级测评;

第五级：访问验证保护级（专控保护级），五级信息系统应当依据特殊安全需求进行等级测评。

等级保护是公安部对非涉密信息系统安全处理标准规范。对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。

具体工作过程

定级

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但主要还是根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的需要根据定级指南来。总之一句话，合理定级，该是几级就是几级，不要定高也不要定低。

备案

第二级以上的信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地区市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。

系统建设整改

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

测评

等级测评信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结果分为优、良、中、差。

监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。