信息安全等级保护测评机构是做什么的？_百度知道
信息安全等级保护测评机构是做什么的？
信息安全等级保护测评机构（简称“等保测评机构”）依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。工作要求：从事等级测评工作的机构及其人员应当遵守国家有关法律法规，依据国家有关技术标准和本规范的相关规定，开展客观、公正、安全的测评服务，不得从事危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
采纳率：94%
来自团队：
有个认证俗称27000认证。评测机构估计就是按GB27000来评价你公司信息安全等级够不够，有哪些漏洞或隐患。管理上的漏洞，技术上的风险等等。
本回答被网友采纳
行政机构已经完成自评和申报的信息系统定级情况，进行复核和检验，必要时提出整改建议。通过信息系统分级申报和完成保护工作，实现强化安全管理的目的，做到分清责任机构，确认安全制度，预防和应对可能发生或者已经发生的信息系统安全问题信息安全等级保护测评机构（简称“等保测评机构”）的职责是依据国家针对计算机信息系统1994年发布的147号令，对于企事业单位
有专门的技术看看你么公司的软件被黑的容易程度。哈哈
其他1条回答
为您推荐：
其他类似问题
您可能关注的内容
等级保护的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
xxxx等级保护测评工作方案
下载积分：2000
内容提示：xxxx等级保护测评工作方案
文档格式：DOC|
浏览次数：109|
上传日期： 00:45:42|
文档星级：
全文阅读已结束，如果下载本文需要使用
 2000 积分
下载此文档
该用户还上传了这些文档
xxxx等级保护测评工作方案
关注微信公众号关于等级保护工作的十个问题关于等级保护工作的十个问题等级保护测评百家号2018年第一天，首先祝各位朋友新年快乐，新的一年继续撸起袖子加油干，主席刚说过：幸福都是奋斗出来的，希望大家在新的一年通过自己的奋斗更上一层楼。今天不得不等整理一份关于等级保护工作的十大常见问题，供大家学习。一、什么是等级保护？答：信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。二、等级保护工作具体包含哪些内容？答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：1）是信息系统定级。2）是信息系统备案。3）是系统安全建设。4）是信息系统开始等级测评。5）主管单位定期开展监督检查。三、为什么要开展等级保护工作？答：主要理由如下：1）通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。2）等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。3）很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。4）落实个人及单位的网络安全保护义务，合理规避风险。四、去哪里进行信息系统的定级备案工作？答：绝大部分地方规定：各地级市的单位将定级资料交给各自地级市的网安支队，省级单位将资料交给省公安网安总队，特定行业有要求的另说，也有部分地方是先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。五、什么是等级保护测评？答：测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。六、等级保护测评一般多长时间能测完？答：一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，有所增减。小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月。如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一年内要完成。七、等级保护测评多久需要测一次？答：三级信息系统要求每年至少开展一次测评；二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。八、等级保护测评的费用是多少？答：测评的费用首先是按照信息系统来算，不是按照一个单位，第二不同等级的测评费用不一样，最后测评的费用也和信息系统的资产规模相关，规模越大相应的测评费用会高些。费用每个省市具体情况不一样，通常每个省市都有自己的一个价格体系，二级和三级系统的测评费用相对都是固定的，具体可以向当地测评机构咨询。九、用户单位需要开展等级保护测评，找谁去做？答：找有测评资质的的测评公司去开展，该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》，同时部分省份要求测评机构在用户单位所在地级市公安网安部门备案，备案成功后方可在当地开展等级保护测评工作。十、测评完成后需要花多少钱进行安全整改，整改是否一次性要整改到位？答：需要根据具体情况去分析，安全整改不一定要额外花钱，如果单位已经有防火墙、IDS、杀毒软件的话，设备上是基本满足等保三级及以下等级的要求的。当然如果想做的更好，还是需要再增加一些其他设备的。安全整改优先把高危风险及最急需整改的内容先整改，不强制要求一次或一年内全部整改到位，安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是我们日常工作应该去做的一部分内容，而不是因为做了等保测评才需要去做的，大家不要有这个误区。这篇文章之前已经发过，再次发出来，给没有看过的朋友们看下，看过的朋友或许可以温故而知新。【如果您觉得有用，欢迎收藏并分享到朋友圈，让更多的朋友了解信息安全，了解等级保护，分享也是一种美德！】欢迎扫描关注我们，及时了解更多关于等级保护的知识本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。等级保护测评百家号最近更新：简介:介绍关于等级保护工作知识及相关政策要求。作者最新文章相关文章企业为什么要开展等级保护测评？|界面新闻 · JMedia界面新闻APP作者：陈硕
1.等级保护是国家信息安全的基本制度
随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）。条例中规定：我国的&计算机信息系统实行安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出&实行信息安全等级保护&。2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》（公通字[2007]43号）明确规定&定期对信息系统安全等级状况开展等级测评&。&第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评&&&。并制定了包括《计算机信息系统安全保护等级划分准则》（GB）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准，形成了信息安全等级保护标准体系。具体如下图所示：
2012年，CSDN网站因未落实国家信息安全等级保护制度，造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》，北京市公安局对CSDN网站运营公司做出行政警告处罚。可见，开展等级保护工作是企业义不容辞的信息安全义务。
2.各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准，各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如，卫生部2011年印发（卫办发[2011]85号）《卫生行业信息安全等级保护工作的指导意见》的通知，明确卫生行业信息系统实行&定级备案、建设与整改、等级测评&工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》，2013年制定了《征信机构管理办法》（中国人民银行令[2013]第1号），明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》（教技[2014]4号）明确规定&各单位信息系统要按照教育行业有关规范准确定级和备案&，&按照国际和教育行业有关标准规范要求进行等级测评&。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作，建立、健全信息安全管理制度，落实安全保护技术措施，全面贯彻落实信息安全等级保护制度。
3.等级保护测评的工作内容
为了达到各级的安全保护能力要求，国家等级保护基本安全要求提出了技术要求和管理要求两大类，涵盖了物理（机房）、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。如下图所示：
信息系统安全等级保护测评(简称&等级保护测评&)包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。等级保护工作的实施过程如下图所示：
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程，测评机构在测评过程中采用访谈、检查和测试三大类的测评方法，具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类，对信息系统进行安全测评和风险评估，验证信息系统是否满足相应安全保护等级要求，并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图：
公安机关等安全监管部门进行信息安全等级保护监督检查时，系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
4.哪些行业需要进行等级保护测评
政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
金融行业：金融监管机构、各大银行、证券、保险公司等；
电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等；
能源行业：电力公司、石油公司、烟草公司；
企业单位：大中型企业、央企、上市公司等；
其它有信息系统定级需求的行业与单位。
一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如，中国人民银行要求征信机构必须进行等级保护测评，所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA（中国金融认证中心）进行测评。CFCA是国家级权威安全认证机构，是国家重要的金融信息安全基础设施之一，汇集高、精、尖人才，拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。CFCA在2013年已获得公安部颁发的《等级保护测评机构能力评估合格证书》、《等级保护测评机构推荐证书》，CFCA成立的信息安全实验室拥有40多名具备信息安全等级测评师资质的工程师，大部分工程师在等级保护测评领域有五年以上的工作经验，是国内最权威的测评机构之一。
5.组织中哪些信息系统需要实施等级保护
&电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
&铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统
&市（地）级以上党政机关的重要网站和办公信息系统。
&涉及国家秘密的信息系统。
6.开展等级保护测评的益处
对于企业来说，实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。
对于信息系统来说，通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改，当信息系统完全达到安全保护能力要求时，信息系统就基本可做到&进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮&。
具体包括：
&保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
&保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。
&保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
&保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
&保障数据安全及备份恢复，保障数据完整性、数据保密性、备份和恢复等。
&安全管理体系保障。根据国家有关信息安全等级保护方面的标准和规范要求，建立一套切实可行的安全管理体系，加强安全管理机制。
您至少需输入5个字评论 相关文章界面JMedia联盟成员推荐阅读信息安全等级保护测评体系建设的必杀技
　作者: 海浪　编辑:
　　【IT168资讯】近年来，公安部会同有关部门切实加强了对等级保护工作的组织和领导，建立并健全了等级保护政策体系和标准体系，组织并加速开展了全国范围内的信息系统定级备案、安全建设整改、等级保护测评体系建设和等级保护测评、监督检查等重要工作，建立健全了中国式信息安全等级保护制度，有力地促进了国家信息安全保障工作，有效地提高了我国重要信息系统及基础信息网络的安全保护能力。　　为积极响应等级保护测评和安全建设整改工作，全国各级等级保护测评机构也在从加快测评工具和测评工作平台基础建设工作入手，逐步形成测评方法、流程和管理模式的标准化、规范化，并进一步提升了等级保护测评实施能力，加速了等级保护测评工作的开展，进一步发挥等级保护测评机构在等级保护工作中的技术支撑作用，为我国信息安全保障工作发挥了应有的作用。　　众所周知，&工欲善其事必先利其器&，等级保护测评工具的选择正确与否，决定着等级保护测评工作的质量和进度，对整体测评工作的有效进展起到不可或缺的重要作用。　　杭州安恒信息技术有限公司作为资深的WEB及数据库检测工具提供商，为各级等保测评机构的工作进展，提供了战无不胜的武器，安恒明鉴WEB应用弱点扫描器和数据库弱点扫描器等产品，作为公安部、浙江省信息安全等级保护专用测评工具，为等级保护测评机构提供了强有力的技术支撑，发挥了积极的作用，得到了全国各级等级保护测评机构的一致好评。　　等级保护测评工具的使用过程中，会因为选择产品的优劣，出现或多或少的结果差异，会影响到测评工作的进展，严重的甚至会影响到测评结果的公平公正，为测评工作增添不必要的麻烦。　　某实验室作为等保测评机构，也在积极的推动等级保护测评工作的进展。今年5月初，杭州安恒信息有限公司和业内另一家公司分别为该实验室提供了数据库检测工具的产品测试。5月14日，安恒信息被告知，在试用过程中，发现两个产品的扫描结果差异很大，另一家公司的产品扫出10多条已公布的漏洞，而安恒信息的数据库弱点扫描器却只扫出2条，该实验室的技术负责人对安恒信息的产品性能表示质疑。接到通知后，杭州安恒信息技术有限公司立即组织相关技术人员积极配合该实验室对相关策略进行检查，最终发现并确认另一家公司所报的10多条漏洞多是误报，并非安恒信息的产品性能问题，安恒信息的产品扫描结果是正确无误的。经过此次事件，该实验室的负责人对安恒信息公司的技术实力有了新的认知，并果断选择采购了安恒明鉴数据库弱点扫描器作为数据库检测工具。　　术业有专攻，安恒明鉴数据库弱点扫描器是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上，研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累，是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品，能够扫描几百种不当的数据库配置或者潜在漏洞，具有强大的发现弱口令的功能。可帮助用户充分了解数据库存在的安全隐患，通过定期数据库系统安全自我检测与评估，提升用户各类数据库的抗风险能力。同时可以协助用户完成数据库建设成效评估，协助数据库安全事故的分析调查与追踪。雄厚的技术实力成就了安恒信息，为信息安全等级保护测评体系建设提供了必杀技，同时也将继续为等级保护测评工作做出更有力的技术支撑。
IT168企业级