等级保护制度 (等级测评的具体流程)

等级测评的具体流程

等级测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

1、测评准备活动阶段

签订《合作合同》与《保密协议》。

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评、验收测评、协助整改）、项目周期（什么时间进场、项目计划做多长时间）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》的同时，测评机构应签署《保密协议》，约定测评机构在测评过程中的保密责任。

（1）项目启动会在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

（2）系统情况调研启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

2、测评方案编制阶段该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

3、现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括: 网络安全测评、管理安全测评、物理安全测评、应用安全测评、主机安全测评五个方面。

4、分析与报告编制阶段此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。

此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

5、整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

6、验收测评阶段测评流程与之前的流程相同，主要是检查整改的效果。综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

安企神——您身边的信息安全专家

安全作为国内优秀的等保测评服务机构，可为您提供等保建设一站式服务，量身定制符合企业自身现状的等保建设方案。我们长期密切关注国家信息安全管理政策的动态变化，在企业网络安全等级保护建设工作实践中积累了丰富的经验。凭借过硬的技术实力和专业的服务能力，获得了广大客户的充分认可。

等级保护工作的步骤

一、等级保护工作的步骤

1、网站系统定级

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

2、网站系统备案根据《网络安全法》规定：

①已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办备案手续。

②新建第二级以上信息系统，应当在投入运行后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办备案手续。

③隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办备案手续。

④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

企业最终确定网站的级别以后，就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料：
( 一 ) 系统拓扑结构及说明；
( 二 ) 系统安全组织机构和管理制度；
( 三 ) 系统安全保护设施设计实施方案或者改建实施方案；
( 四 ) 系统使用的信息安全产品清单及其认证、销售许可证明；
( 五 ) 测评后符合系统安全保护等级的技术检测评估报告；
( 六 ) 信息系统安全保护等级专家评审意见；
( 七 ) 主管部门审核批准信息系统安全保护等级的意见。

3、网站系统安全建设（整改）

等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。

等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。

整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。

技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

4、网站系统等级测评

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评，测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。

测评机构收费方面，具体的服务费用会因为省市不同、测评项目不同、行业不同等而有所差异。但一般来说，二级系统测评费用5万元起步，三级系统测评费用7万元起步。

根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

5、监督检查企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。

等级保护

近日国家能源局印发《电力行业网络安全等级保护管理办法》，组织制定电力行业网络安全等级保护的政策规定及技术规范，并监督实施。该办法就是旨在规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平。

可以看到等级保护制度已经深入到各个重要行业中，等保从1.0升级到2.0之后，覆盖更多行业，包括各地区、各单位、各部门、各企业、各机构。新等保更注重全方位主动防御、安全可信、动态感知和全面审计，能够应对更多复杂多样的网络安全风险。现在有收集、储存用户信息的企业，都会进行等保建设，以此来全面提升安全防护能力。

等保2.0中涉及终端安全以及数据安全的内容很多，如安全区域边界、访问控制、安全审计、安全计算环境、数据保密性、数据备份等，终端是内外交互的重要端点，而数据安全是事关国家安全和经济社会发展的重大问题，都是建设符合等保要求的重要环节。

等保合规建设之终端安全

安企神作为终端安全领域的提供商，一直以来就有为政府机关、金融行业、医疗行业、电信、能源等重要领域的机构企业提供符合等保要求的终端安全管理服务，帮助完善终端接入与网络访问控制、数据保护、终端操作管理、资产运维等，并且得到了各大机构企业的认可和信赖。

1、安全区域边界

在网络边界采取必要的授权接入、访问控制等措施，实现对内部的保护是安全防御的必要。通过安企神移动存储管控、外设管控以及网络控制等，可以限制非授权设备私自联到内部网络，限制内部用户非授权联到外部网络，防止无线网络通过受控的边界防护设备接入内部网络，强化边界区域的控制。

2、数据安全保护

数据安全问题是等保2.0建设的核心内容，新等保制度下，企业不仅要做到主动防范各类安全风险，还要有相应的预警措施提前预测风险问题，做好事前、事中、事后的整体防泄密管控，并且在发生泄密事件时及时溯源。

安企神三维智能信息防泄露整体解决方案，就是在文档加密、操作管控、日志审计的基础上融入全新的敏感内容识别技术，能够帮助机构企业进行全方位的防泄露管控，同时也能通过敏感内容识别对高价值的数据采取更有针对性的保护措施。

3、数据备份恢复

在等保制度中就特别提到应提供重要数据的本地数据备份与恢复功能，安企神终端文档备份解决方案也可以很好满足企业的备份需求，帮助定期把重要数据文档备份到特定的服务器，如果文档一旦遭到破坏，可以快速从备份服务器中把备份的文档提取到本地。

4、终端操作管控

安企神可以帮助管控终端的文档操作、文档打印、应用程序、即时通讯、网页浏览、应用程序、软件安装卸载等行为等，减少终端安全隐患，安企神支持记录终端的操作行为，以及通过屏幕监视记录终端的操作，以便管理员后期审计。

5、审计终端操作行为

安全审计亦是等保的重要部分，安企神可以帮助记录终端的文档操作、文档打印、移动存储、应用程序、上网浏览、即时通讯、软硬件资产等行为，结合安企神审计报表，可以帮助快速统计分析终端的各类操作，对终端文档的全流程操作行为进行全方面审计，帮助掌控终端动态，及时发现违规行为。

6、资产运维管理

安企神可以帮助自动收集并检测计算机终端的软硬件信息及变更信息，便于管理员进行资产盘点；对系统补丁进行统一检测、安装，减少系统风险；对软件统一分发、部署和卸载，提高软件管理效率，此外还可以通过远程协助功能，远程协助处理计算机问题处理、故障排查。

现在安企神已经涵盖文档加密、终端操作管控、日志审计、敏感内容识别、文档备份、资产管理等终端所需的各项管控功能，可以全面满足等保2.0 在终端层面的各项要求。安企神一体化的管控理念，集所有功能于一个客户端，可以大幅度提升终端的管控效率，模块化的管理模式，也便于机构企业根据自身需要自由搭配模块，未来再根据业务规模的变化扩展管控应用。