信息安全等级保护的规定步骤

　　落实信息系统安全等级保护测评工程是2018年企业信息网络安全的关键工作之一，信息安全等级保护工作涉及定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个环节，各个环节都必须严格测评。这里跟大家讲讲信息安全等级保护的规定步骤。

　　信息安全等级保护服务：http://www.safedog.cn/seniorService.html?transferCode=2

信息安全等级保护的规定步骤

　　一、等级保护测评的依据：

　　依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

　　第一级：用户自主保护级，目前1.0版本不需要去备案(提交材料公安部也会给备案证明)，等保2.0是需要备案的;

　　第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次;

　　第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评;

　　第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评;

　　第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。

　　备案流程：

　　一步：定级

　　定级的依据就是你提到的《保护定级指南》。定级的原则是“自主定级”，因为系统在遭受破坏后造成多大影响自己清楚的。确定等级后起草“定级报告”，定级报告模版里可以搜到。

　　二步：准备备案材料

　　备案所需材料主要是，备案表模版里可以搜到。每个系统填写一份备案表，其中二级系统只需要填写备案表的表一、表二和表三;三级系统需要填写表一、表二、表三和表四。

　　三步：等级测评

　　二级系统不需要进行等级测评即可进行备案;三级系统需要有资质的测评机构进行测评并出具测评报告，测评报告作为备案材料之一(备案表四中有明确说明)进行备案。

　　四步：提交备案材料

　　将打印盖章，连同一份电子版提交到当地地市级以上公安局(现在叫网安支队)，在审批结束后会为你出具，备案工作结束。

　　申请主要材料：

　　1.营业执照副本;

　　2.法人，出资人，身份的证明，手机号，邮箱;

　　3.公司章程;

　　4.域名证书彩色扫描件;

　　5.法律规定的其他资料;

　　二、等级保护工作的步骤

　　运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：

　　1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)等。

　　2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

　　3、对所定级的系统进行专家评审(二级系统也需要专家评审)。

　　4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》(每个系统一份)，完成系统定级备案阶段工作。

　　5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作(具体测评流程见第三条)。

　　6、完成等级测评工作，获得《信息系统等级保护测评报告》(每个系统一份)后，将《测评报告》提交网监部门进行备案。

　　7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

　　三、等级测评的流程：

　　差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

　　1、测评准备活动阶段

　　签订《合作合同》与《保密协议》

　　首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围(系统数量)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

　　签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位(公对公)签署，约定测评机构在测评过程中的保密责任;一种是测评机构项目组成员与被测单位之间签署。

　　项目启动会

　　在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

　　系统情况调研

　　启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

　　2、测评方案编制阶段

　　该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

　　3、现场测评阶段

　　现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括:

　　物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

　　一个二级系统的现场测评工作一般需要5天左右完成。

　　此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。

　　4、分析与报告编制阶段

　　此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

　　此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。

　　此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

　　5、整改阶段

　　主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

　　6、验收测评阶段

　　测评流程与之前的流程相同，主要是检查整改的效果。

　　综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

　　四、被测方(备案单位)在测评阶段需配合的工作

　　1、测评准备阶段：

　　1) 被测方成立项目组，并任命项目经理;

　　2) 向测评机构介绍本单位的信息化建设状况与发展情况;

　　3) 准备测评机构需要的资料，比如系统定级报告、备案表、自查或上次测评报告、联系方式等;

　　4) 为测评人员的信息收集提供支持和协调;

　　5) 准确填写信息系统基本信息调查表;

　　6) 根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议;

　　2、方案编制阶段：

　　与测评方讨论测评方案，并最终签字确认。

　　3、现场测评阶段：

　　1) 此阶段工作测评方人员需要在客户现场完成。需要被测方提供办公位(基本的办公环境)。

　　2) 备案单位需要机房管理员、网络管理员、安全主管、系统管理员、系统开发人员、运维人员等进行配合。

　　3) 测评前备份系统和数据，并确认被测设备状态完好;

　　4) 协调被测系统内部相关人员的关系，配合测评工作的开展;

　　5) 相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作;

　　6) 相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响;

　　7) 相关人员对测评结果进行确认;

　　8) 相关人员确认工具测试后被测设备的状态完好。

　　4、分析与报告编制阶段：

　　确认测评报告和整改建议。

　　5、整改阶段

　　主要由客户实施，测评机构协助。

　　6、验收测评阶段

　　此阶段与之前的差距测评阶段类似，主要是针对整改的项目进行测评，从而检验整改的效果。备案单位签收测评报告，并把测评报告向公安机关备案。

　　在上述工作全部完成后，被测单位应将由等级测评机构盖章的《测评报告》提交公安机关完成备案。

　　关于信息安全等级保护的规定步骤就介绍到这里，信息系统安全等级保护是有国家明文规定的标准，需要有一定的资质和实力才能进行等级资质认证。如果您有这方面的需求，可以向安全狗寻求认证服务，我们会帮助您通过信息系统安全等级保护认证。