根據(jù)信息系統(tǒng)等級保護相關(guān)標準，等級保護工作總共分五個階段，分別為：系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)/整改、等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查。

核心思想在于建立“可信、可控、可管”的安全防護體系，使得系統(tǒng)能夠按照預期運行，免受信息安全攻擊和破壞。小編會給您帶來詳細的測評準備和實施流程介紹。

一、等級保護工作的步驟

1.網(wǎng)站系統(tǒng)定級

根據(jù)等級保護相關(guān)管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：①受侵害的客體;②對客體的侵害程度。對于關(guān)鍵信息基礎(chǔ)設(shè)施，“定級原則上不低于三級”，且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。

定級流程：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構(gòu)備案審查→最終確定的級別。

2.網(wǎng)站系統(tǒng)備案

根據(jù)《網(wǎng)絡安全法》規(guī)定：

①已運營(運行)的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)(等保2.0相關(guān)標準已將備案時限修改為10日內(nèi))，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。

②新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)(等保2.0相關(guān)標準已將備案時限修改為10日內(nèi))，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。

③隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦備案手續(xù)。

④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

企業(yè)最終確定網(wǎng)站的級別以后，就可以到公安機關(guān)進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。第三級以上信息系統(tǒng)需提供以下材料：( 一 ) 系統(tǒng)拓撲結(jié)構(gòu)及說明;( 二 ) 系統(tǒng)安全組織機構(gòu)和管理制度;( 三 ) 系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;( 四 ) 系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;( 五 ) 測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;( 六 ) 信息系統(tǒng)安全保護等級專家評審意見;( 七 ) 主管部門審核批準信息系統(tǒng)安全保護等級的意見。

3.網(wǎng)站系統(tǒng)安全建設(shè)(整改)

等級保護整改是等保建設(shè)的其中一個環(huán)節(jié)，指按照等級保護建設(shè)要求，對信息和信息系統(tǒng)進行的網(wǎng)絡安全升級，包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力，讓企業(yè)可以成功通過等級測評。

等級保護整改沒有什么資質(zhì)要求，只要公司可以按照等級保護要求來進行相關(guān)網(wǎng)絡安全建設(shè)，由誰來實施，是沒有要求的。但由于目前企業(yè)網(wǎng)絡安全人才緊缺，企業(yè)很多時候都需要尋找專業(yè)的網(wǎng)絡安全服務公司來進行整改。

整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導和責任部門，落實安全崗位和人員，對安全管理現(xiàn)狀進行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設(shè)備、介質(zhì)管理安全監(jiān)測等。

技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品，比如網(wǎng)頁防篡改、流量監(jiān)測、網(wǎng)絡入侵監(jiān)測產(chǎn)品等。

4.網(wǎng)站系統(tǒng)等級測評

等級測評指經(jīng)公安部認證的具有資質(zhì)的測評機構(gòu)，依據(jù)國家信息安全等級保護規(guī)范規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。物聯(lián)網(wǎng)企業(yè)等級測評需要尋找合適的測評機構(gòu)來進行測評，測評機構(gòu)至少需要具備《信息安全等級測評推薦證書》。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡安全等級保護網(wǎng)查看國家推薦的有資質(zhì)的測評機構(gòu)名單。

測評機構(gòu)收費方面，具體的服務費用會因為省市不同、測評項目不同、行業(yè)不同等而有所差異。但一般來說，二級系統(tǒng)測評費用4萬元起步，三級系統(tǒng)測評費用7萬元起步。

根據(jù)規(guī)定，對信息系統(tǒng)安全等級保護狀況進行的測試應包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況;二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。

5.監(jiān)督檢查

企業(yè)要接受公安機關(guān)不定期的監(jiān)督和檢查，對公安機關(guān)提出的問題予以改進。

信息系統(tǒng)安全等級保護備案證明

二、等級測評的具體流程

等級測評階段又分為以下內(nèi)容：測評準備活動、方案編制活動、現(xiàn)場測評活動、分析及報告編制活動，整改階段、驗收測評階段。

1.測評準備活動階段

簽訂《合作合同》與《保密協(xié)議》

首先，被測評單位在選定測評機構(gòu)后，雙方需要先簽訂《測評服務合同》，合同中對項目范圍(系統(tǒng)數(shù)量)、項目內(nèi)容(差距測評、驗收測評、協(xié)助整改)、項目周期(什么時間進場、項目計劃做多長時間)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內(nèi)容逐一進行約定。

簽訂《測評服務合同》的同時，測評機構(gòu)應簽署《保密協(xié)議》，約定測評機構(gòu)在測評過程中的保密責任。

(1)項目啟動會

在雙方簽完委托測評合同之后，雙方即可約定召開項目啟動會時間。項目啟動會的目的，主要是由甲方領(lǐng)導對公司內(nèi)部涉及的部門進行動員、提請各相關(guān)部門重視、協(xié)調(diào)內(nèi)部資源、介紹測評方項目實施人員、計劃安排等內(nèi)容，為整個等級測評項目的實施做基本準備。

(2)系統(tǒng)情況調(diào)研

啟動會后，測評方開展調(diào)研，通過填寫《信息系統(tǒng)基本情況調(diào)查表》，掌握被測系統(tǒng)的詳細情況，為編制測評方案做好準備。測評準備活動是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準備工作是否充分,直接關(guān)系到后續(xù)工作能否順利開展。一個二級系統(tǒng)的測評準備工作一般需要1天半，三級系統(tǒng)的準備工作一般需要2天左右完成。

2.測評方案編制階段

該階段的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評實施手冊，形成測評方案。方案編制活動為現(xiàn)場測評提供最基本的文檔依據(jù)和指導方案。一個二級系統(tǒng)的方案編制工作一般需要2天左右完成。

3.現(xiàn)場測評階段

現(xiàn)場測評活動是開展等級測評工作的核心活動，包括技術(shù)測評和管理測評。其中技術(shù)測評包括: 網(wǎng)絡安全測評、管理安全測評、物理安全測評、應用安全測評、主機安全測評五個方面。

4.分析與報告編制階段

此階段主要任務是根據(jù)現(xiàn)場測評結(jié)果，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結(jié)論，形成測評報告文本。一個二級系統(tǒng)的分析和報告編制工作一般需要3-4天左右完成。

此階段工作不一定需要在客戶現(xiàn)場完成?！稖y評報告》的模板是由公安機關(guān)統(tǒng)一制定的。

此階段的輸出物為《某系統(tǒng)等級測評報告》、《某系統(tǒng)整改建議》。

5.整改階段

主要根據(jù)測評機構(gòu)出具的差距測評報告和整改建議進行整改，此階段主要由備案單位實施，測評機構(gòu)協(xié)助，客戶可以根據(jù)自身的實際情況，把整改分為短期、中期、長期。

6.驗收測評階段

測評流程與之前的流程相同，主要是檢查整改的效果。

綜上，一個二級系統(tǒng)完整的測評一次，在客戶方充分配合、測評方派3名測評師的情況下，大致需要四周左右。如果有多個系統(tǒng)同時測評，會存在部分重復工作，具體情況需要具體分析。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/news/202303/xwif_40361.html