等保测评认证要在等级保护备案后进行

来源:本站 作者:中联信科 日期:2023-08-11 09:40:54 浏览: 223

等级保护测评工作是一个全流程工作,想做等级保护测评的单位,首先需要做定级备案工作。这个是一个固定的流程,无论是在北京,还是其他地方都一样。以北京为例子,小编通过网络为大家整理了以下内容,让大家简单了解以下等级保护测评和等级保护定级备案的流程。


等级保护定级备案对应的受理部门:所在地的市级及以上公安机关备案

申请认证流程:第一步,系统定级;第二步,系统备案。

系统定级主要是填写备案单位情况表、定级系统情况表和定级报告,一共是4个表格(二级系统三个表格,三级系统四个表格),一个定级报告,这些定级信息填写完成之后,打印两份,刻录电子档一份,在纸质文件单位首页处加盖备案单位公章。

这样我们的系统定级备案资料就准备好了。

测评单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。

如果通过后会拿到一份纸质的定级备案资料,不过此时备案资料加盖了公安部门的公章,同时还有一个系统的备案证明

若不通过,公安部门会指出具体问题,如定级不准确,资料不全等,重新填写定级资料后再次提交进行备案工作。

等级保护测评受理单位:当地公安部门认可的等级保护测评机构,如深圳公安部门认可的等级保护测评机构。

PS:当然可以选择离自己比较近的等级保护测评机构在处理现场测评环节会相对方便一点。

等级保护测评内容及成果

等级保护测评到底测哪些内容呢?主要测评以下两个层面:

技术层面:物理安全、主机安全、网络安全、应用安全和数据安全与备份;

管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

技术层面具体的对象是:

1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。

2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。

3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个。

最终经过等级保护测评之后,我们获得的成果主要是:被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。

补充一项重要的成果:通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。

等级保护测评工作沟通协作,一般只需要一到两个对你们单位系统情况、网络设备比较了解的人配合就可以,大部分工作是等级保护测评机构在做;另外安全工作不是因为做了等保才要去做,如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的,只是通过做等保,我们把这样的问题集中暴露出来,更早的把这些问题解决,把安全隐患扼杀在摇篮之中。

上一篇:等级保护测评认证2.0系统定级指引 ← 下一篇:医院信息安全等级保护建设参考文件 →