首页>>技术前沿>>银川软件行业动态绝对权威!等级保护测评必看《宁夏信息安全等级保护测评活动管理规范》
一、网络运营单位须知
(一)哪些单位和系统应该纳入等保测评范围?
1.一般要求。信息系统运营使用单位要一个选择符合条件的等级保护测评机构,依法定期对信息系统开展等级等保测评。第三级(含)以上信息系统每年至少进行一次等级保护测评。重要部门涉及生产、调度、管理的第二级信息系统,应当至少每两年开展一次等级保护测评。【《规范》第十三条】
2.特殊要求。电力行业:电力行业生产、调度、监控系统的等级保护测评活动需同时在国网宁夏电力公司书面报备。【《规范》第二十二条第三款】
电子政务工程:电子政务工程建设项目在建设完成后,建设单位应当在信息系统试运行期间开展等级等保测评,等保测评合格后方可投入使用。
建设单位提出工程建设项目验收申请时应当向原审批部门提交信息系统安全保护等级备案证明、安全等级等保测评报告和风险评估报告。【《规范》第二十四条】
(二)等级保护测评机构应该注意什么?
1.具备省级等保办颁发的推荐证书。等级保护测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。【《规范》第六条】
2.进入宁夏等保办公布的等保测评机构目录。来宁异地等级保护测评机构应当在每年12月1日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章)。自治区等保办出具意见并向全区公布名单。原则上未列入公布名单的,第二年不得在宁开展等级保护测评活动。【《规范》第二十七条】
3.人员资质。等级保护测评机构至少应当具有10名以上初级、中级和高级等级等保测评师,其中高、中级等级等保测评师占40%。等级等保测评师上岗前,等级保护测评机构应当组织岗前培训。培训合格的,由等级保护测评机构配发上岗证。【《规范》第七条】
4.过硬的技术能力。等级保护测评机构应当配备满足等级保护测评工作需要的等保测评设备和工具,包括3大类9种工具:
安全问题发现类(网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);
安全问题分析与定位类工具(网络协议分析、源代码安全审计);
安全问题验证类工具(渗透测试和性能压力测试)。
所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。【《规范》第八条】
(三)如何选择等级保护测评机构?
1.核对等保测评单位资质,4个文件不能少。被等保测评单位应当核对等保测评机构的《信息安全等级保护测评机构推荐证书》(副本)、《信息安全等级等保测评师证书》、《信息安全等级保护测评机构登记表》、《信息安全等级保护测评机构年度检查表》等资质文件。【《规范》第十五条】
2.权责明确,要签3个协议。被等保测评单位应当与等级保护测评机构签订等保测评项目合同、保密协议、现场等保测评授权书。【《规范》第十六条】
3.等保测评机构人员的要求,三级至少7人,二级至少5人。第三级(含)以上信息系统等保测评项目应当至少由7名等保测评师参与,其中1名高级等级等保测评师,1名中级等级等保测评师、3名初级技术类等保测评师、2名初级管理类等保测评师。第二级信息系统等保测评项目应当至少由5名等保测评师参与,其中1名中级等级等保测评师、3名初级技术类等保测评师、1名初级管理类等保测评师。【《规范》第十七条】
4.风险提前告知,妥善应对。等级保护测评机构要事先告知被等保测评单位等保测评活动可能给被等保测评系统带来的影响,协助其采取相应的预防措施,防范等保测评风险。【《规范》第十八条】
(四)等级保护测评工作有哪些规范?
等保测评步骤。信息系统安全等级保护测评活动包括等保测评准备、方案编制、现场等保测评、报告编制四个基本阶段。
1.等保测评准备阶段:等保测评机构通过调查访问,了解被等保测评单位的基本情况,以及整个信息系统的构成和保护情况,准备测试工具。
2.方案编制阶段:等保测评机构整理等保测评准备活动中获取的信息系统相关资料,根据《信息系统安全等级保护测评要求》(GB 28448-2012)、《信息系统安全等级保护测评过程指南》(GB 28449-2012)等国家标准及有关行业标准确定等保测评对象、等保测评指标及等保测评内容,形成等保测评方案和等保测评指导书,为现场等保测评活动提供指导。
3.现场等保测评阶段:等保测评机构按照等保测评指导书实施等级等保测评,并规范、准确、完整记录等保测评数据。现场等保测评主要包括单元等保测评和整体等保测评两部分。每个单元等保测评包括等保测评指标、等保测评实施和结果判定三个部分。整体等保测评主要包括安全控制点间、层面间和区域间相互作用的安全等保测评以及系统结构的安全等保测评。现场等保测评一般包括访谈、检查和测试三种等保测评方式。
4.报告编制阶段:等级保护测评机构在对现场等保测评获得的等保测评结果进行汇总、风险分析和评价的基础上,找出信息系统保护现状与等级保护基本要求之间的差距,形成等级保护测评结论,提出整改建议,并编制等保测评报告。【《规范》第十九条】
(五)等级保护测评完成后应该交什么材料?
1.提交等保测评报告。等级保护测评项目完成后,被等保测评单位在30日内向受理信息系统备案的公安机关提交等保测评报告。【《规范》第二十条第一款】
2.提交整改报告。在完成整改后30日内,将整改方案和工作情况报送受理信息系统备案的公安机关。【《规范》第二十一条】
3.提交评价表。被测单位要填写《信息安全等级保护测评服务情况评价表》,随等保测评报告一并反馈受理信息系统备案的公安机关。【《规范》第二十二条第二款】
二、等保测评机构须知
(1)、等保测评机构应该具备什么条件?
1.具备省级等保办颁发的推荐证书。等级保护测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。【《规范》第六条】
2.具备的人员资质。等级保护测评机构至少应当具有10名以上初级、中级和高级等级等保测评师,其中高、中级等级等保测评师占40%。等级等保测评师上岗前,等级保护测评机构应当组织岗前培训。培训合格的,由等级保护测评机构配发上岗证。【《规范》第七条】
3.具备过硬的技术能力。等级保护测评机构应当配备满足等级保护测评工作需要的等保测评设备和工具,包括3大类9种工具:
安全问题发现类(网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);
安全问题分析与定位类工具(网络协议分析、源代码安全审计);
安全问题验证类工具(渗透测试和性能压力测试)。
所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。【《规范》第八条】
4.具备完善的管理体系。等级保护测评机构应当制定保密管理、项目管理、质量管理、人员管理、培训教育等内容的制度管理体系,保证日常管理和等级等保测评活动的顺利进行。【《规范》第九条】
(2)、等保测评机构工作规范?
1.按要求实施。异地等保测评机构在宁等保测评活动,要按照本规范要求和《信息安全等级保护测评机构异地备案实施细则》具体实施。【《规范》第十一条】
2.具备相关资质文件。被测评单位应当依据《规范》第六条、第七条、第八条、第二十七条的规定,在等保测评项目招投标、商谈时要对等级保护测评机构具备的条件进行查验,并核对《信息安全等级保护测评机构推荐证书》(副本)、《信息安全等级等保测评师证书》、《信息安全等级保护测评机构登记表》、《信息安全等级保护测评机构年度检查表》等资质文件。【《规范》第十五条】
3.权责明确(要签3份文件)。被等保测评单位应当与等级保护测评机构签订等保测评项目合同、保密协议、现场等保测评授权书,以规范等保测评活动。【《规范》第十六条】
4.充足的等保测评人员(三级7人,二级5人)。等级保护测评项目启动后,等级保护测评机构必须保证足够的现场等级等保测评师,投入满足等级保护测评需要的检测设备和工具。
第三级(含)以上信息系统等保测评项目应当至少由7名等保测评师参与,其中1名高级等级等保测评师,1名中级等级等保测评师、3名初级技术类等保测评师、2名初级管理类等保测评师。第二级信息系统等保测评项目应当至少由5名等保测评师参与,其中1名中级等级等保测评师、3名初级技术类等保测评师、1名初级管理类等保测评师。【《规范》第十七条】
5.风险预告知。等级保护测评机构要充分估计等保测评活动可能给被等保测评系统带来的影响,并事先告知被等保测评单位,协助其采取相应的预防措施,防范等保测评风险。【《规范》第十八条】
6.变更时报备。等级保护测评机构的名称、地址、性质、法人、股权结构、经营范围、主要负责人、等级保护测评师等重要事项发生变更的,应当在15日内书面报告。【《规范》第十条】
7.规范等保测评阶段,确保等保测评质量。信息系统安全等级保护测评活动包括等保测评准备、方案编制、现场等保测评、报告编制四个基本阶段。
等保测评准备阶段:等保测评机构通过调查访问,了解被等保测评单位的基本情况,以及整个信息系统的构成和保护情况,准备测试工具。
方案编制阶段:等保测评机构整理等保测评准备活动中获取的信息系统相关资料,根据《信息系统安全等级保护测评要求》(GB 28448-2012)、《信息系统安全等级保护测评过程指南》(GB 28449-2012)等国家标准及行业标准确定等保测评对象、等保测评指标及等保测评内容,形成等保测评方案和等保测评指导书,为现场等保测评活动提供指导。
现场等保测评阶段:等保测评机构按照等保测评指导书实施等级等保测评,并规范、准确、完整记录等保测评数据。现场等保测评主要包括单元等保测评和整体等保测评两部分。每个单元等保测评包括等保测评指标、等保测评实施和结果判定三个部分。整体等保测评主要包括安全控制点间、层面间和区域间相互作用的安全等保测评以及系统结构的安全等保测评。现场等保测评一般包括访谈、检查和测试三种等保测评方式。
报告编制阶段:等级保护测评机构在对现场等保测评获得的等保测评结果进行汇总、风险分析和评价的基础上,找出信息系统保护现状与等级保护基本要求之间的差距,形成等级保护测评结论,提出整改建议,并编制等保测评报告。【《规范》第十九条】
8.等保测评报告法人要审批。等保测评报告由等级保护测评机构按照公安部《信息系统安全等级等保测评报告模版(试行)》规定的格式编制,由等保测评项目负责人(中级等保测评师以上)作为第一编制人,技术主管(高级等保测评师)负责审核,机构法人或其授权人员签发或批准。等级保护测评报告加盖等级保护测评机构能力合格专用标识。【《规范》第二十条第二款】
9.向备案公安机关的两次报备。等级保护测评机构在等保测评项目合同签订及项目完成后5日内,分别向受理信息系统备案的公安机关书面报告有关情况。
10.电力行业的报备。电力行业生产、调度、监控系统的等级保护测评活动需同时在国网宁夏电力公司书面报备。【《规范》第二十二条第一、三款】
(3)、等保测评机构应该交给区等保办的材料?
1.季度、年度报送文件。等级保护测评机构每季度向自治区等保办报送等保测评工作开展情况,由自治区等保办组织每年底编制本地网络安全保护状况分析报告。【《规范》第二十三条】
2.年度检查。等级保护测评机构年度检查时间为每年12月1日至31日。等级保护测评机构向自治区等保办提交以下材料:
(a)信息安全等级保护测评机构年度检查表;
(b)信息安全等级保护测评机构推荐证书副本;
(c)年度等级保护测评工作总结;
(d)其他所需材料。
自治区等保办进行项目回访、书面审核和现场检查,并依据国家等保办颁布的《信息安全等级保护测评机构评优标准》从等级保护测评机构的等保测评技术能力、等保测评管理规范化、工具配备、等保测评师数量、系统等保测评数量等方面进行量化打分。【《规范》第二十六条】
3.异地等保测评机构备案。来宁异地等级保护测评机构应当在每年12月1日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章)。自治区等保办出具意见并向全区公布名单。原则上未列入公布名单的,第二年不得在宁开展等级保护测评活动。【《规范》第二十七条】
4.异地项目合同签订前要备案。等级等保测评机构办理备案手续,应于异地信息系统等级等保测评项目合同签订之前完成。办理时,等保测评机构应首先到中国信息安全等级保护网站下载《等级等保测评机构异地等保测评项目备案表》,准备好备案相关文件。【《信息安全等级保护测评机构异地备案实施细则》第三条】
5.不定期参加会议。等级保护测评机构每季度召开联席工作会议,本地等保测评机构和进入公布名单的异地等保测评机构参会。【《规范》第二十八条】
(4)、等保测评机构违规的后果
等级保护测评机构有下列情形之一的,由自治区等保办责令其限期改正;情形严重的,予以通报。
(a)影响被等保测评信息系统正常运行,危害被等保测评信息系统安全的;
(b)未按照有关标准规范开展等级保护测评、未按规定出具等级保护测评报告或格式不符合要求的;
(c)非授权占有、使用、未妥善保管等级保护测评相关资料及数据文件的;
(d)分包或转包等级保护测评项目、恶意竞争,扰乱等保测评市场秩序的;
(e)限定被等保测评单位购买、使用指定信息安全产品的;
(f)承担信息系统安全建设整改工作的;
(g)等保测评人员未取得等级保护测评师证书和上岗证从事等级保护测评活动的;等级保护测评师人员变动,少于10人的;
(h)未按规定向自治区等保办和受理信息系统备案的公安机关提交材料、报告情况或情况不实的;
(i)其他违反等级保护测评有关规定的行为。【《规范》第三十一条】
等级保护测评师有下列情形之一的,由自治区等保办责令等级保护测评机构督促其限期改正,暂停参与等级保护测评工作;情节严重的,注销其等级保护测评师证书,并对其所在等级保护测评机构进行通报。未经允许擅自使用或泄露、出售等级保护测评活动中收集的数据信息、资料或信息系统安全保护等级等保测评报告的;有涂改、出借、出租和转让等级保护测评师证书和上岗证行为的;【《规范》第二十九条】。异地等级保护测评机构违反本《规范》第二十九条、三十条、三十一条相关规定的,自治区等保办将取消报备资格,纳入等保测评活动“黑名单”,不得在宁夏开展等级保护测评活动。【《规范》第三十二条】
【全文完】
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])
版权声明:
1、银川弈聪软件公司网站内容中凡注明“来源:XXX(非银川弈聪软件公司网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的银川网站建设,银川手机app开发,银川软件公司,网站建设,银川软件开发等技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“银川弈聪软件公司”的作品系本站版权所有,任何人转载请署名来源,否则银川弈聪软件公司将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
银川软件行业动态
