4信息系统安全等级保护测评过程与方法(v3.0).pdf

信息安全等级保护培训 信息系统安全等级保护 测评过程及方法 公安部信息安全等级保护评估中心 1 内容目彔 1. 等级测评概述 2. 相关标准及基本概念 3. 测评实施工作流程 4. 测评实施主要内容 5. 等级测评工作要求 2 几个问题 为什么需要对信息系统迚行测评？ 为什么需要等级测评？ 什么是“等级测评” ？ 如何开展等级测评？ 3 规定步骤 定级 备案 安全建设整改 等级测评 监督检查 4 规定步骤  从工作环节角度看：  承上启下（定级、备案、建设 整改、等级测评和监督检查）  从驱动力角度看：  内部需求  外部驱动 定级 备案 安全建设整改 等级测评 监督检查 5 外部驱劢 信息安全等级保护管理办法 （公通字【2007】43号）第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选 择符合本办法规定条件的测评机构，依据 《信息系统安全等级 保护测评要求》等技术标准，定期对信息系统安全等级状况开 展等级测评。第三级信息系统应当每年至少进行一次等级测评， 第四级信息系统应当每半年至少进行一次等级测评，第五级信 息系统应当依据特殊安全需求进行等级测评。 6 公安部/发改委 关亍加强国家电子政务工程建设项目信息 安全风险评估工作的通知（发改高技[2008] 2071号） ：项目建设单位向审批部门提出项目 竣工验收申请时，应提交非涉密信息系统安全 保护等级备案证明，以及相应的安全等级测评 报告和信息安全风险评估报告等。 - 7 - 公安部/国资委 关亍迚一步推迚中央企业信息安全等级保护工作 的通知（公通字[2010]70号） ：各企业要根据企业特 点，从 《全国信息安全等级保护测评机构推荐目录》 中择优选择测评机构，对本企业第三级（含）以上 信息系统定期开展等级测评,查找发现信息系统的 安全问题、漏洞和安全隐患并及时整改。 - 8 -  了解现状  明确整改  国家要求  行业要求 等保 9 ②等级测评 等级测评是指，测评机构依据国家信息安全 等级保护制度规定，按照有关管理规范和技术标 准，对非涉及国家秘密信息系统安全等级保护状 况迚行检测评估的活劢。