等級保護測評工作是一個全流程工作��,想做等級保護測評的單位���,首先需要做定級備案工作���。這個是一個固定的流程��,無論是在深圳���,還是其他地方都一樣�����。以深圳為例子���,小編通過網絡為大家整理了以下內容�����,讓大家簡單了解以下等級保護測評和等級保護定級備案的流程�����。
等級保護定級備案對應的受理部門:所在地的市級及以上公安機關備案
申請認證流程:第一步�����,系統定級;第二步�����,系統備案��。
系統定級主要是填寫備案單位情況表���、定級系統情況表和定級報告��,一共是4個表格(二級系統三個表格���,三級系統四個表格)�����,一個定級報告�����,這些定級信息填寫完成之后�����,打印兩份���,刻錄電子檔一份���,在紙質文件單位首頁處加蓋備案單位公章���。
這樣我們的系統定級備案資料就準備好了�����。
測評單位在確定等級后到所在地的市級及以上公安機關備案��。新建二級及以上信息系統在投入運營后30日內��、已運行的二級及以上信息系統在等級確定30日內備案��。公安機關對信息系統備案情況進行審核���,對符合要求的在10個工作日內頒發等級保護備案證明�����。
如果通過后會拿到一份紙質的定級備案資料��,不過此時備案資料加蓋了公安部門的公章�����,同時還有一個系統的備案證明
若不通過���,公安部門會指出具體問題�����,如定級不準確���,資料不全等�����,重新填寫定級資料后再次提交進行備案工作���。
等級保護測評受理單位:當地公安部門認可的等級保護測評機構��,如深圳公安部門認可的等級保護測評機構���。
PS:當然可以選擇離自己比較近的等級保護測評機構在處理現場測評環節會相對方便一點���。
等級保護測評內容及成果
等級保護測評到底測哪些內容呢?主要測評以下兩個層面:
技術層面:物理安全�����、主機安全���、網絡安全�����、應用安全和數據安全與備份;
管理層面:安全管理制度�����、安全管理機構�����、人員安全管理���、系統建設管理�����、系統運維管理��。
技術層面具體的對象是:
1���、機房��,本測評單位將對信息系統運營使用單位重要信息系統的機房��、配電間�����、消防間等相關物理環境進行測評�����,分析其中的問題以及不符合要求的地方��。
2�����、業務應用軟件�����,本測評單位將對信息系統運營使用單位重要信息系統進行測評���,從應用軟件的安全機制方向���,分析應用系統中存在的安全隱患與問題��。
3��、主機操作系統��,本測評單位將對信息系統運營使用單位重要信息系統相關的服務器的操作系統進行測評��,從訪問控制�����、安全審計�����、剩余信息保護�����、入侵防范�����、惡意代碼防范���、資源控制等方向分析其中的安全隱患與問題���。
4�����、數據庫系統���,本測評單位將對信息系統運營使用單位重要信息系統所使用的數據庫進行測評���,從身份鑒別���、訪問控制�����、安全審計�����、資源控制方向分析其中的安全隱患與問題�����。
5��、網絡設備�����,本測評單位將對信息系統運營使用單位重要信息系統的網絡設備進行測評�����,從訪問控制��、安全審計�����、網絡設備防護等方向分析其中的安全隱患與問題��。
具體測評內容控制點及要求項比較多��,統計如下:二級系統控制點66個���,要求項175;三級系統控制點73個�����,要求項290個���。
最終經過等級保護測評之后�����,我們獲得的成果主要是:被測系統取得的備案證明資料���、等級保護測評報告和安全建設整改方案���。
補充一項重要的成果:通過等級保護測評之后我們的系統信息安全防護能力得到了提高���,安全風險被有效降低��,前提是我們在發現問題后進行一定的安全整改�����。
等級保護測評工作溝通協作���,一般只需要一到兩個對你們單位系統情況���、網絡設備比較了解的人配合就可以��,大部分工作是等級保護測評機構在做;另外安全工作不是因為做了等保才要去做���,如果單位不做等保這樣的工作也是應該貫徹在我們日常工作之中的���,只是通過做等保�����,我們把這樣的問題集中暴露出來���,更早的把這些問題解決��,把安全隱患扼殺在搖籃之中��。
等保測評咨詢
