原標題:重磅!《寧夏信息安全等級保護測評活動管理規范》解讀最全帖!
目錄
一����、網絡運營單位須知
(一)測什么?
1.一般要求
2.特殊要求
(二)選誰測?
1.具備省級等保辦頒發的推薦證書
2.進入寧夏等保辦公布的測評機構目錄
3.人員資質
4.過硬的技術能力
(三)查什么?
1.核對測評單位資質��,4個文件不能少
2.權責明確��,要簽3個協議
3.測評機構人員的要求�����,三級至少7人�����,二級至少5人
4.風險提前告知����,妥善應對
(四)怎么測?
(五)交什么?
1.提交測評報告
2.提交整改報告
3.提交評價表
二��、測評機構須知
(一)在寧測評�����,你該有什么能力?
1.具備省級等保辦頒發的推薦證書
2.具備的人員資質
3.具備過硬的技術能力
4.具備完善的管理體系
(二)在寧測評�����,你要做什么工作
1.按要求實施
2.具備相關資質文件
3.權責明確(要簽3份文件)
4.充足的測評人員(三級7人����,二級5人)
5.風險預告知
6.變更時報備
7.規范測評階段�����,確保測評質量
8.測評報告法人要審批
9.向備案公安機關的兩次報備
10.電力行業的報備
(三)在寧工作����,交給區等保辦的材料不能少
1.季度����、年度報送文件
2.年度檢查
3.異地測評機構備案
4.異地項目合同簽訂前要備案
5.召開會議
(四)違規的后果�����,你承擔不起
1.測評機構以下雷區勿踩
2.測評師以下紅線勿蹭
3.異地測評機構更要謹慎
導讀:
隨著《中華人民共和國網絡安全法》的出臺實施�����,網絡安全等級保護工作上升為國家基礎法律強制性要求����。為進一步規范測評活動�����,提升測評質量�����,寧夏網絡安全等級保護工作領導小組辦公室出臺《寧夏信息安全等級保護測評活動管理規范》(以下簡稱《規范》)�����,《規范》相較試行版發生了許多調整��,進一步明晰了網絡運營單位和測評機構的工作要求����、管理規范和處置機制�����。小編今天和大家分享最權威解讀�����。
一��、網絡運營單位須知
(一)測什么?
1.一般要求����。信息系統運營使用單位要一個選擇符合條件的等級保護測評機構�����,依法定期對信息系統開展等級測評����。第三級(含)以上信息系統每年至少進行一次等級保護測評�����。重要部門涉及生產��、調度��、管理的第二級信息系統�����,應當至少每兩年開展一次等級保護測評����?���!尽兑幏丁返谑龡l】
2.特殊要求�����。電力行業:電力行業生產��、調度��、監控系統的等級保護測評活動需同時在國網寧夏電力公司書面報備��?���!尽兑幏丁返诙l第三款】
電子政務工程:電子政務工程建設項目在建設完成后����,建設單位應當在信息系統試運行期間開展等級測評�����,測評合格后方可投入使用��。
建設單位提出工程建設項目驗收申請時應當向原審批部門提交信息系統安全保護等級備案證明��、安全等級測評報告和風險評估報告����?�!尽兑幏丁返诙臈l】
(二)選誰測?
1.具備省級等保辦頒發的推薦證書��。等級保護測評機構應當具有省級信息(網絡)安全等級保護工作領導(協調)小組辦公室頒發的《信息安全等級保護測評機構推薦證書》����,并公告在《中國信息安全等級保護網》的《全國信息安全等級保護測評機構推薦目錄》中����?�!尽兑幏丁返诹鶙l】
2.進入寧夏等保辦公布的測評機構目錄�����。來寧異地等級保護測評機構應當在每年12月1日至31日在自治區等保辦書面報備����,提交《信息安全等級保護測評機構登記表》和推薦證書副本(復印件加蓋單位公章)�����。自治區等保辦出具意見并向全區公布名單��。原則上未列入公布名單的����,第二年不得在寧開展等級保護測評活動����?����!尽兑幏丁返诙邨l】
3.人員資質�����。等級保護測評機構至少應當具有10名以上初級��、中級和高級等級測評師�����,其中高����、中級等級測評師占40%��。等級測評師上崗前����,等級保護測評機構應當組織崗前培訓��。培訓合格的��,由等級保護測評機構配發上崗證��?����!尽兑幏丁返谄邨l】
4.過硬的技術能力�����。等級保護測評機構應當配備滿足等級保護測評工作需要的測評設備和工具��,包括3大類9種工具:
安全問題發現類(網絡和主機的漏洞掃描����、WEB安全檢測��、惡意行為檢測����、數據庫管理系統安全檢測);
安全問題分析與定位類工具(網絡協議分析����、源代碼安全審計);
安全問題驗證類工具(滲透測試和性能壓力測試)����。
所使用的設備和工具應當符合《信息安全等級保護管理辦法》對信息安全產品的要求��?����!尽兑幏丁返诎藯l】
(三)查什么?
1.核對測評單位資質�����,4個文件不能少��。被測評單位應當核對測評機構的《信息安全等級保護測評機構推薦證書》(副本)�����、《信息安全等級測評師證書》����、《信息安全等級保護測評機構登記表》��、《信息安全等級保護測評機構年度檢查表》等資質文件��?���!尽兑幏丁返谑鍡l】
2.權責明確�����,要簽3個協議��。被測評單位應當與等級保護測評機構簽訂測評項目合同����、保密協議�����、現場測評授權書����?����!尽兑幏丁返谑鶙l】
3.測評機構人員的要求�����,三級至少7人��,二級至少5人�����。第三級(含)以上信息系統測評項目應當至少由7名測評師參與��,其中1名高級等級測評師��,1名中級等級測評師�����、3名初級技術類測評師��、2名初級管理類測評師�����。第二級信息系統測評項目應當至少由5名測評師參與��,其中1名中級等級測評師��、3名初級技術類測評師�����、1名初級管理類測評師��?�!尽兑幏丁返谑邨l】
4.風險提前告知�����,妥善應對����。等級保護測評機構要事先告知被測評單位測評活動可能給被測評系統帶來的影響�����,協助其采取相應的預防措施�����,防范測評風險����?����!尽兑幏丁返谑藯l】
(四)怎么測?
測評步驟����。信息系統安全等級保護測評活動包括測評準備����、方案編制��、現場測評����、報告編制四個基本階段�����。
1.測評準備階段:測評機構通過調查訪問�����,了解被測評單位的基本情況�����,以及整個信息系統的構成和保護情況����,準備測試工具��。
2.方案編制階段:測評機構整理測評準備活動中獲取的信息系統相關資料�����,根據《信息系統安全等級保護測評要求》(GB
28448-2012)��、《信息系統安全等級保護測評過程指南》(GB
28449-2012)等國家標準及有關行業標準確定測評對象����、測評指標及測評內容��,形成測評方案和測評指導書�����,為現場測評活動提供指導����。
3.現場測評階段:測評機構按照測評指導書實施等級測評����,并規范�����、準確�����、完整記錄測評數據?�,F場測評主要包括單元測評和整體測評兩部分�����。每個單元測評包括測評指標�����、測評實施和結果判定三個部分�����。整體測評主要包括安全控制點間�����、層面間和區域間相互作用的安全測評以及系統結構的安全測評?�,F場測評一般包括訪談��、檢查和測試三種測評方式����。
4.報告編制階段:等級保護測評機構在對現場測評獲得的測評結果進行匯總�����、風險分析和評價的基礎上��,找出信息系統保護現狀與等級保護基本要求之間的差距�����,形成等級保護測評結論����,提出整改建議��,并編制測評報告�����?�!尽兑幏丁返谑艞l】
(五)交什么?
1.提交測評報告�����。等級保護測評項目完成后��,被測評單位在30日內向受理信息系統備案的公安機關提交測評報告����?�!尽兑幏丁返诙畻l第一款】
2.提交整改報告��。在完成整改后30日內����,將整改方案和工作情況報送受理信息系統備案的公安機關��?����!尽兑幏丁返诙粭l】
3.提交評價表����。被測單位要填寫《信息安全等級保護測評服務情況評價表》�����,隨測評報告一并反饋受理信息系統備案的公安機關����?�!尽兑幏丁返诙l第二款】
二�����、測評機構須知
(一)在寧測評����,你該有什么能力?
1.具備省級等保辦頒發的推薦證書�����。等級保護測評機構應當具有省級信息(網絡)安全等級保護工作領導(協調)小組辦公室頒發的《信息安全等級保護測評機構推薦證書》��,并公告在《中國信息安全等級保護網》的《全國信息安全等級保護測評機構推薦目錄》中��?�!尽兑幏丁返诹鶙l】
2.具備的人員資質��。等級保護測評機構至少應當具有10名以上初級��、中級和高級等級測評師����,其中高�����、中級等級測評師占40%��。等級測評師上崗前��,等級保護測評機構應當組織崗前培訓��。培訓合格的��,由等級保護測評機構配發上崗證��?���!尽兑幏丁返谄邨l】
3.具備過硬的技術能力�����。等級保護測評機構應當配備滿足等級保護測評工作需要的測評設備和工具����,包括3大類9種工具:
安全問題發現類(網絡和主機的漏洞掃描�����、WEB安全檢測��、惡意行為檢測��、數據庫管理系統安全檢測);
安全問題分析與定位類工具(網絡協議分析����、源代碼安全審計);
安全問題驗證類工具(滲透測試和性能壓力測試)��。
所使用的設備和工具應當符合《信息安全等級保護管理辦法》對信息安全產品的要求�����?�!尽兑幏丁返诎藯l】
4.具備完善的管理體系�����。等級保護測評機構應當制定保密管理�����、項目管理��、質量管理�����、人員管理�����、培訓教育等內容的制度管理體系����,保證日常管理和等級測評活動的順利進行��?���!尽兑幏丁返诰艞l】
(二)在寧測評��,你要做什么工作
1.按要求實施�����。異地測評機構在寧測評活動����,要按照本規范要求和《信息安全等級保護測評機構異地備案實施細則》具體實施�����?����!尽兑幏丁返谑粭l】
2.具備相關資質文件�����。被測評單位應當依據《規范》第六條��、第七條�����、第八條�����、第二十七條的規定��,在測評項目招投標��、商談時要對等級保護測評機構具備的條件進行查驗����,并核對《信息安全等級保護測評機構推薦證書》(副本)����、《信息安全等級測評師證書》��、《信息安全等級保護測評機構登記表》�����、《信息安全等級保護測評機構年度檢查表》等資質文件����?�!尽兑幏丁返谑鍡l】
3.權責明確(要簽3份文件)�����。被測評單位應當與等級保護測評機構簽訂測評項目合同�����、保密協議�����、現場測評授權書����,以規范測評活動����?�!尽兑幏丁返谑鶙l】
4.充足的測評人員(三級7人����,二級5人)����。等級保護測評項目啟動后����,等級保護測評機構必須保證足夠的現場等級測評師�����,投入滿足等級保護測評需要的檢測設備和工具��。
第三級(含)以上信息系統測評項目應當至少由7名測評師參與��,其中1名高級等級測評師�����,1名中級等級測評師����、3名初級技術類測評師�����、2名初級管理類測評師����。第二級信息系統測評項目應當至少由5名測評師參與����,其中1名中級等級測評師����、3名初級技術類測評師����、1名初級管理類測評師�����?�!尽兑幏丁返谑邨l】
5.風險預告知��。等級保護測評機構要充分估計測評活動可能給被測評系統帶來的影響����,并事先告知被測評單位�����,協助其采取相應的預防措施�����,防范測評風險����?�!尽兑幏丁返谑藯l】
6.變更時報備��。等級保護測評機構的名稱����、地址�����、性質����、法人����、股權結構��、經營范圍����、主要負責人����、等級保護測評師等重要事項發生變更的�����,應當在15日內書面報告��?����!尽兑幏丁返谑畻l】
7.規范測評階段����,確保測評質量����。信息系統安全等級保護測評活動包括測評準備�����、方案編制��、現場測評��、報告編制四個基本階段�����。
測評準備階段:測評機構通過調查訪問��,了解被測評單位的基本情況����,以及整個信息系統的構成和保護情況��,準備測試工具����。
方案編制階段:測評機構整理測評準備活動中獲取的信息系統相關資料��,根據《信息系統安全等級保護測評要求》(GB
28448-2012)��、《信息系統安全等級保護測評過程指南》(GB
28449-2012)等國家標準及行業標準確定測評對象�����、測評指標及測評內容����,形成測評方案和測評指導書����,為現場測評活動提供指導����。
現場測評階段:測評機構按照測評指導書實施等級測評��,并規范����、準確�����、完整記錄測評數據?�,F場測評主要包括單元測評和整體測評兩部分�����。每個單元測評包括測評指標��、測評實施和結果判定三個部分�����。整體測評主要包括安全控制點間�����、層面間和區域間相互作用的安全測評以及系統結構的安全測評?����,F場測評一般包括訪談����、檢查和測試三種測評方式��。
報告編制階段:等級保護測評機構在對現場測評獲得的測評結果進行匯總����、風險分析和評價的基礎上��,找出信息系統保護現狀與等級保護基本要求之間的差距��,形成等級保護測評結論����,提出整改建議����,并編制測評報告����?���!尽兑幏丁返谑艞l】
8.測評報告法人要審批����。測評報告由等級保護測評機構按照公安部《信息系統安全等級測評報告模版(試行)》規定的格式編制����,由測評項目負責人(中級測評師以上)作為第一編制人��,技術主管(高級測評師)負責審核����,機構法人或其授權人員簽發或批準����。等級保護測評報告加蓋等級保護測評機構能力合格專用標識�����?�!尽兑幏丁返诙畻l第二款】
9.向備案公安機關的兩次報備�����。等級保護測評機構在測評項目合同簽訂及項目完成后5日內��,分別向受理信息系統備案的公安機關書面報告有關情況����。
10.電力行業的報備��。電力行業生產����、調度�����、監控系統的等級保護測評活動需同時在國網寧夏電力公司書面報備����?�!尽兑幏丁返诙l第一�����、三款】
(三)在寧工作�����,交給區等保辦的材料不能少
1.季度��、年度報送文件�����。等級保護測評機構每季度向自治區等保辦報送測評工作開展情況����,由自治區等保辦組織每年底編制本地網絡安全保護狀況分析報告�����?���!尽兑幏丁返诙龡l】
2.年度檢查����。等級保護測評機構年度檢查時間為每年12月1日至31日��。等級保護測評機構向自治區等保辦提交以下材料:
(一)信息安全等級保護測評機構年度檢查表;
(二)信息安全等級保護測評機構推薦證書副本;
(三)年度等級保護測評工作總結;
(四)其他所需材料�����。
自治區等保辦進行項目回訪����、書面審核和現場檢查�����,并依據國家等保辦頒布的《信息安全等級保護測評機構評優標準》從等級保護測評機構的測評技術能力��、測評管理規范化�����、工具配備�����、測評師數量����、系統測評數量等方面進行量化打分�����?�!尽兑幏丁返诙鶙l】
3.異地測評機構備案����。來寧異地等級保護測評機構應當在每年12月1日至31日在自治區等保辦書面報備��,提交《信息安全等級保護測評機構登記表》和推薦證書副本(復印件加蓋單位公章)��。自治區等保辦出具意見并向全區公布名單�����。原則上未列入公布名單的����,第二年不得在寧開展等級保護測評活動�����?�!尽兑幏丁返诙邨l】
4.異地項目合同簽訂前要備案��。等級測評機構辦理備案手續��,應于異地信息系統等級測評項目合同簽訂之前完成��。辦理時����,測評機構應首先到中國信息安全等級保護網站下載《等級測評機構異地測評項目備案表》�����,準備好備案相關文件�����?�!尽缎畔踩燃壉Wo測評機構異地備案實施細則》第三條】
5.不定期參加會議�����。等級保護測評機構每季度召開聯席工作會議��,本地測評機構和進入公布名單的異地測評機構參會��?�!尽兑幏丁返诙藯l】
(四)違規的后果�����,你承擔不起
1.測評機構以下雷區勿踩
等級保護測評機構有下列情形之一的�����,由自治區等保辦責令其限期改正;情形嚴重的�����,予以通報��。
(1)影響被測評信息系統正常運行����,危害被測評信息系統安全的;
(2)未按照有關標準規范開展等級保護測評��、未按規定出具等級保護測評報告或格式不符合要求的;
(3)非授權占有��、使用�����、未妥善保管等級保護測評相關資料及數據文件的;
(4)分包或轉包等級保護測評項目����、惡意競爭��,擾亂測評市場秩序的;
(5)限定被測評單位購買��、使用指定信息安全產品的;
(6)承擔信息系統安全建設整改工作的;
(7)測評人員未取得等級保護測評師證書和上崗證從事等級保護測評活動的;等級保護測評師人員變動����,少于10人的;
(8)未按規定向自治區等保辦和受理信息系統備案的公安機關提交材料����、報告情況或情況不實的;
(9)其他違反等級保護測評有關規定的行為����?����!尽兑幏丁返谌粭l】
2.測評師以下紅線勿蹭
等級保護測評師有下列情形之一的�����,由自治區等保辦責令等級保護測評機構督促其限期改正����,暫停參與等級保護測評工作;情節嚴重的��,注銷其等級保護測評師證書����,并對其所在等級保護測評機構進行通報�����。
未經允許擅自使用或泄露��、出售等級保護測評活動中收集的數據信息��、資料或信息系統安全保護等級測評報告的;
有涂改�����、出借��、出租和轉讓等級保護測評師證書和上崗證行為的;【《規范》第二十九條】
3.異地測評機構更要謹慎
異地等級保護測評機構違反本《規范》第二十九條��、三十條�����、三十一條相關規定的��,自治區等保辦將取消報備資格�����,納入測評活動“黑名單”�����,不得在寧夏開展等級保護測評活動�����?�!尽兑幏丁返谌l】
等保測評咨詢
