原標(biāo)題:重磅!《寧夏信息安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)管理規(guī)范》解讀最全帖!
目錄
一�����、網(wǎng)絡(luò)運(yùn)營單位須知
(一)測(cè)什么?
1.一般要求
2.特殊要求
(二)選誰測(cè)?
1.具備省級(jí)等保辦頒發(fā)的推薦證書
2.進(jìn)入寧夏等保辦公布的測(cè)評(píng)機(jī)構(gòu)目錄
3.人員資質(zhì)
4.過硬的技術(shù)能力
(三)查什么?
1.核對(duì)測(cè)評(píng)單位資質(zhì)��,4個(gè)文件不能少
2.權(quán)責(zé)明確����,要簽3個(gè)協(xié)議
3.測(cè)評(píng)機(jī)構(gòu)人員的要求�,三級(jí)至少7人,二級(jí)至少5人
4.風(fēng)險(xiǎn)提前告知�,妥善應(yīng)對(duì)
(四)怎么測(cè)?
(五)交什么?
1.提交測(cè)評(píng)報(bào)告
2.提交整改報(bào)告
3.提交評(píng)價(jià)表
二、測(cè)評(píng)機(jī)構(gòu)須知
(一)在寧測(cè)評(píng)�����,你該有什么能力?
1.具備省級(jí)等保辦頒發(fā)的推薦證書
2.具備的人員資質(zhì)
3.具備過硬的技術(shù)能力
4.具備完善的管理體系
(二)在寧測(cè)評(píng)��,你要做什么工作
1.按要求實(shí)施
2.具備相關(guān)資質(zhì)文件
3.權(quán)責(zé)明確(要簽3份文件)
4.充足的測(cè)評(píng)人員(三級(jí)7人�,二級(jí)5人)
5.風(fēng)險(xiǎn)預(yù)告知
6.變更時(shí)報(bào)備
7.規(guī)范測(cè)評(píng)階段,確保測(cè)評(píng)質(zhì)量
8.測(cè)評(píng)報(bào)告法人要審批
9.向備案公安機(jī)關(guān)的兩次報(bào)備
10.電力行業(yè)的報(bào)備
(三)在寧工作�,交給區(qū)等保辦的材料不能少
1.季度、年度報(bào)送文件
2.年度檢查
3.異地測(cè)評(píng)機(jī)構(gòu)備案
4.異地項(xiàng)目合同簽訂前要備案
5.召開會(huì)議
(四)違規(guī)的后果�����,你承擔(dān)不起
1.測(cè)評(píng)機(jī)構(gòu)以下雷區(qū)勿踩
2.測(cè)評(píng)師以下紅線勿蹭
3.異地測(cè)評(píng)機(jī)構(gòu)更要謹(jǐn)慎
導(dǎo)讀:
隨著《中華人民共和國網(wǎng)絡(luò)安全法》的出臺(tái)實(shí)施,網(wǎng)絡(luò)安全等級(jí)保護(hù)工作上升為國家基礎(chǔ)法律強(qiáng)制性要求���。為進(jìn)一步規(guī)范測(cè)評(píng)活動(dòng)����,提升測(cè)評(píng)質(zhì)量���,寧夏網(wǎng)絡(luò)安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室出臺(tái)《寧夏信息安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)管理規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)�����,《規(guī)范》相較試行版發(fā)生了許多調(diào)整����,進(jìn)一步明晰了網(wǎng)絡(luò)運(yùn)營單位和測(cè)評(píng)機(jī)構(gòu)的工作要求����、管理規(guī)范和處置機(jī)制。小編今天和大家分享最權(quán)威解讀����。
一�����、網(wǎng)絡(luò)運(yùn)營單位須知
(一)測(cè)什么?
1.一般要求。信息系統(tǒng)運(yùn)營使用單位要一個(gè)選擇符合條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)�,依法定期對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)。第三級(jí)(含)以上信息系統(tǒng)每年至少進(jìn)行一次等級(jí)保護(hù)測(cè)評(píng)��。重要部門涉及生產(chǎn)�����、調(diào)度��、管理的第二級(jí)信息系統(tǒng)�����,應(yīng)當(dāng)至少每?jī)赡觊_展一次等級(jí)保護(hù)測(cè)評(píng)��?��!尽兑?guī)范》第十三條】
2.特殊要求�。電力行業(yè):電力行業(yè)生產(chǎn)�����、調(diào)度、監(jiān)控系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)活動(dòng)需同時(shí)在國網(wǎng)寧夏電力公司書面報(bào)備�����?��!尽兑?guī)范》第二十二條第三款】
電子政務(wù)工程:電子政務(wù)工程建設(shè)項(xiàng)目在建設(shè)完成后����,建設(shè)單位應(yīng)當(dāng)在信息系統(tǒng)試運(yùn)行期間開展等級(jí)測(cè)評(píng)��,測(cè)評(píng)合格后方可投入使用���。
建設(shè)單位提出工程建設(shè)項(xiàng)目驗(yàn)收申請(qǐng)時(shí)應(yīng)當(dāng)向原審批部門提交信息系統(tǒng)安全保護(hù)等級(jí)備案證明���、安全等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告?��!尽兑?guī)范》第二十四條】
(二)選誰測(cè)?
1.具備省級(jí)等保辦頒發(fā)的推薦證書���。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)具有省級(jí)信息(網(wǎng)絡(luò))安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)(協(xié)調(diào))小組辦公室頒發(fā)的《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》,并公告在《中國信息安全等級(jí)保護(hù)網(wǎng)》的《全國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》中?!尽兑?guī)范》第六條】
2.進(jìn)入寧夏等保辦公布的測(cè)評(píng)機(jī)構(gòu)目錄����。來寧異地等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)在每年12月1日至31日在自治區(qū)等保辦書面報(bào)備,提交《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)登記表》和推薦證書副本(復(fù)印件加蓋單位公章)��。自治區(qū)等保辦出具意見并向全區(qū)公布名單��。原則上未列入公布名單的��,第二年不得在寧開展等級(jí)保護(hù)測(cè)評(píng)活動(dòng)�。【《規(guī)范》第二十七條】
3.人員資質(zhì)���。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)至少應(yīng)當(dāng)具有10名以上初級(jí)���、中級(jí)和高級(jí)等級(jí)測(cè)評(píng)師,其中高�����、中級(jí)等級(jí)測(cè)評(píng)師占40%�。等級(jí)測(cè)評(píng)師上崗前,等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)組織崗前培訓(xùn)。培訓(xùn)合格的�,由等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證?��!尽兑?guī)范》第七條】
4.過硬的技術(shù)能力�。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)配備滿足等級(jí)保護(hù)測(cè)評(píng)工作需要的測(cè)評(píng)設(shè)備和工具�����,包括3大類9種工具:
安全問題發(fā)現(xiàn)類(網(wǎng)絡(luò)和主機(jī)的漏洞掃描�����、WEB安全檢測(cè)���、惡意行為檢測(cè)��、數(shù)據(jù)庫管理系統(tǒng)安全檢測(cè));
安全問題分析與定位類工具(網(wǎng)絡(luò)協(xié)議分析���、源代碼安全審計(jì));
安全問題驗(yàn)證類工具(滲透測(cè)試和性能壓力測(cè)試)。
所使用的設(shè)備和工具應(yīng)當(dāng)符合《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息安全產(chǎn)品的要求����。【《規(guī)范》第八條】
(三)查什么?
1.核對(duì)測(cè)評(píng)單位資質(zhì),4個(gè)文件不能少�����。被測(cè)評(píng)單位應(yīng)當(dāng)核對(duì)測(cè)評(píng)機(jī)構(gòu)的《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》(副本)�、《信息安全等級(jí)測(cè)評(píng)師證書》��、《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)登記表》�����、《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年度檢查表》等資質(zhì)文件���?���!尽兑?guī)范》第十五條】
2.權(quán)責(zé)明確�,要簽3個(gè)協(xié)議。被測(cè)評(píng)單位應(yīng)當(dāng)與等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)簽訂測(cè)評(píng)項(xiàng)目合同�����、保密協(xié)議�、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。【《規(guī)范》第十六條】
3.測(cè)評(píng)機(jī)構(gòu)人員的要求�,三級(jí)至少7人,二級(jí)至少5人��。第三級(jí)(含)以上信息系統(tǒng)測(cè)評(píng)項(xiàng)目應(yīng)當(dāng)至少由7名測(cè)評(píng)師參與�,其中1名高級(jí)等級(jí)測(cè)評(píng)師,1名中級(jí)等級(jí)測(cè)評(píng)師�����、3名初級(jí)技術(shù)類測(cè)評(píng)師�����、2名初級(jí)管理類測(cè)評(píng)師��。第二級(jí)信息系統(tǒng)測(cè)評(píng)項(xiàng)目應(yīng)當(dāng)至少由5名測(cè)評(píng)師參與��,其中1名中級(jí)等級(jí)測(cè)評(píng)師�����、3名初級(jí)技術(shù)類測(cè)評(píng)師�、1名初級(jí)管理類測(cè)評(píng)師?!尽兑?guī)范》第十七條】
4.風(fēng)險(xiǎn)提前告知����,妥善應(yīng)對(duì)��。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)要事先告知被測(cè)評(píng)單位測(cè)評(píng)活動(dòng)可能給被測(cè)評(píng)系統(tǒng)帶來的影響���,協(xié)助其采取相應(yīng)的預(yù)防措施���,防范測(cè)評(píng)風(fēng)險(xiǎn)�����?��!尽兑?guī)范》第十八條】
(四)怎么測(cè)?
測(cè)評(píng)步驟����。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)包括測(cè)評(píng)準(zhǔn)備���、方案編制��、現(xiàn)場(chǎng)測(cè)評(píng)����、報(bào)告編制四個(gè)基本階段。
1.測(cè)評(píng)準(zhǔn)備階段:測(cè)評(píng)機(jī)構(gòu)通過調(diào)查訪問�����,了解被測(cè)評(píng)單位的基本情況����,以及整個(gè)信息系統(tǒng)的構(gòu)成和保護(hù)情況,準(zhǔn)備測(cè)試工具���。
2.方案編制階段:測(cè)評(píng)機(jī)構(gòu)整理測(cè)評(píng)準(zhǔn)備活動(dòng)中獲取的信息系統(tǒng)相關(guān)資料���,根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB
28448-2012)、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(GB
28449-2012)等國家標(biāo)準(zhǔn)及有關(guān)行業(yè)標(biāo)準(zhǔn)確定測(cè)評(píng)對(duì)象�、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容,形成測(cè)評(píng)方案和測(cè)評(píng)指導(dǎo)書��,為現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)提供指導(dǎo)����。
3.現(xiàn)場(chǎng)測(cè)評(píng)階段:測(cè)評(píng)機(jī)構(gòu)按照測(cè)評(píng)指導(dǎo)書實(shí)施等級(jí)測(cè)評(píng),并規(guī)范��、準(zhǔn)確、完整記錄測(cè)評(píng)數(shù)據(jù)?,F(xiàn)場(chǎng)測(cè)評(píng)主要包括單元測(cè)評(píng)和整體測(cè)評(píng)兩部分。每個(gè)單元測(cè)評(píng)包括測(cè)評(píng)指標(biāo)��、測(cè)評(píng)實(shí)施和結(jié)果判定三個(gè)部分��。整體測(cè)評(píng)主要包括安全控制點(diǎn)間����、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)。現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談���、檢查和測(cè)試三種測(cè)評(píng)方式。
4.報(bào)告編制階段:等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)在對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總����、風(fēng)險(xiǎn)分析和評(píng)價(jià)的基礎(chǔ)上,找出信息系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距��,形成等級(jí)保護(hù)測(cè)評(píng)結(jié)論�����,提出整改建議�,并編制測(cè)評(píng)報(bào)告�?���!尽兑?guī)范》第十九條】
(五)交什么?
1.提交測(cè)評(píng)報(bào)告。等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目完成后�����,被測(cè)評(píng)單位在30日內(nèi)向受理信息系統(tǒng)備案的公安機(jī)關(guān)提交測(cè)評(píng)報(bào)告�。【《規(guī)范》第二十條第一款】
2.提交整改報(bào)告�����。在完成整改后30日內(nèi)�,將整改方案和工作情況報(bào)送受理信息系統(tǒng)備案的公安機(jī)關(guān)?��!尽兑?guī)范》第二十一條】
3.提交評(píng)價(jià)表����。被測(cè)單位要填寫《信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)情況評(píng)價(jià)表》��,隨測(cè)評(píng)報(bào)告一并反饋受理信息系統(tǒng)備案的公安機(jī)關(guān)����?���!尽兑?guī)范》第二十二條第二款】
二�����、測(cè)評(píng)機(jī)構(gòu)須知
(一)在寧測(cè)評(píng)���,你該有什么能力?
1.具備省級(jí)等保辦頒發(fā)的推薦證書�。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)具有省級(jí)信息(網(wǎng)絡(luò))安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)(協(xié)調(diào))小組辦公室頒發(fā)的《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》�,并公告在《中國信息安全等級(jí)保護(hù)網(wǎng)》的《全國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》中?��!尽兑?guī)范》第六條】
2.具備的人員資質(zhì)。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)至少應(yīng)當(dāng)具有10名以上初級(jí)���、中級(jí)和高級(jí)等級(jí)測(cè)評(píng)師��,其中高�����、中級(jí)等級(jí)測(cè)評(píng)師占40%��。等級(jí)測(cè)評(píng)師上崗前���,等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)組織崗前培訓(xùn)�。培訓(xùn)合格的��,由等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證����。【《規(guī)范》第七條】
3.具備過硬的技術(shù)能力��。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)配備滿足等級(jí)保護(hù)測(cè)評(píng)工作需要的測(cè)評(píng)設(shè)備和工具�,包括3大類9種工具:
安全問題發(fā)現(xiàn)類(網(wǎng)絡(luò)和主機(jī)的漏洞掃描、WEB安全檢測(cè)�、惡意行為檢測(cè)、數(shù)據(jù)庫管理系統(tǒng)安全檢測(cè));
安全問題分析與定位類工具(網(wǎng)絡(luò)協(xié)議分析��、源代碼安全審計(jì));
安全問題驗(yàn)證類工具(滲透測(cè)試和性能壓力測(cè)試)���。
所使用的設(shè)備和工具應(yīng)當(dāng)符合《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息安全產(chǎn)品的要求�����?�!尽兑?guī)范》第八條】
4.具備完善的管理體系��。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)制定保密管理����、項(xiàng)目管理、質(zhì)量管理�、人員管理、培訓(xùn)教育等內(nèi)容的制度管理體系����,保證日常管理和等級(jí)測(cè)評(píng)活動(dòng)的順利進(jìn)行?��!尽兑?guī)范》第九條】
(二)在寧測(cè)評(píng)����,你要做什么工作
1.按要求實(shí)施�����。異地測(cè)評(píng)機(jī)構(gòu)在寧測(cè)評(píng)活動(dòng)����,要按照本規(guī)范要求和《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)異地備案實(shí)施細(xì)則》具體實(shí)施?!尽兑?guī)范》第十一條】
2.具備相關(guān)資質(zhì)文件。被測(cè)評(píng)單位應(yīng)當(dāng)依據(jù)《規(guī)范》第六條�����、第七條�����、第八條��、第二十七條的規(guī)定����,在測(cè)評(píng)項(xiàng)目招投標(biāo)、商談時(shí)要對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)具備的條件進(jìn)行查驗(yàn)�,并核對(duì)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》(副本)、《信息安全等級(jí)測(cè)評(píng)師證書》���、《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)登記表》�、《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年度檢查表》等資質(zhì)文件?!尽兑?guī)范》第十五條】
3.權(quán)責(zé)明確(要簽3份文件)。被測(cè)評(píng)單位應(yīng)當(dāng)與等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)簽訂測(cè)評(píng)項(xiàng)目合同����、保密協(xié)議、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書��,以規(guī)范測(cè)評(píng)活動(dòng)����。【《規(guī)范》第十六條】
4.充足的測(cè)評(píng)人員(三級(jí)7人�����,二級(jí)5人)�����。等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目啟動(dòng)后���,等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)必須保證足夠的現(xiàn)場(chǎng)等級(jí)測(cè)評(píng)師�����,投入滿足等級(jí)保護(hù)測(cè)評(píng)需要的檢測(cè)設(shè)備和工具�����。
第三級(jí)(含)以上信息系統(tǒng)測(cè)評(píng)項(xiàng)目應(yīng)當(dāng)至少由7名測(cè)評(píng)師參與����,其中1名高級(jí)等級(jí)測(cè)評(píng)師�����,1名中級(jí)等級(jí)測(cè)評(píng)師���、3名初級(jí)技術(shù)類測(cè)評(píng)師�、2名初級(jí)管理類測(cè)評(píng)師�。第二級(jí)信息系統(tǒng)測(cè)評(píng)項(xiàng)目應(yīng)當(dāng)至少由5名測(cè)評(píng)師參與,其中1名中級(jí)等級(jí)測(cè)評(píng)師���、3名初級(jí)技術(shù)類測(cè)評(píng)師���、1名初級(jí)管理類測(cè)評(píng)師?���!尽兑?guī)范》第十七條】
5.風(fēng)險(xiǎn)預(yù)告知����。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)要充分估計(jì)測(cè)評(píng)活動(dòng)可能給被測(cè)評(píng)系統(tǒng)帶來的影響���,并事先告知被測(cè)評(píng)單位����,協(xié)助其采取相應(yīng)的預(yù)防措施��,防范測(cè)評(píng)風(fēng)險(xiǎn)���?��!尽兑?guī)范》第十八條】
6.變更時(shí)報(bào)備。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的名稱��、地址����、性質(zhì)、法人��、股權(quán)結(jié)構(gòu)、經(jīng)營范圍���、主要負(fù)責(zé)人�����、等級(jí)保護(hù)測(cè)評(píng)師等重要事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)在15日內(nèi)書面報(bào)告��?!尽兑?guī)范》第十條】
7.規(guī)范測(cè)評(píng)階段,確保測(cè)評(píng)質(zhì)量�����。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)包括測(cè)評(píng)準(zhǔn)備����、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)����、報(bào)告編制四個(gè)基本階段。
測(cè)評(píng)準(zhǔn)備階段:測(cè)評(píng)機(jī)構(gòu)通過調(diào)查訪問��,了解被測(cè)評(píng)單位的基本情況,以及整個(gè)信息系統(tǒng)的構(gòu)成和保護(hù)情況�����,準(zhǔn)備測(cè)試工具�。
方案編制階段:測(cè)評(píng)機(jī)構(gòu)整理測(cè)評(píng)準(zhǔn)備活動(dòng)中獲取的信息系統(tǒng)相關(guān)資料,根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB
28448-2012)��、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(GB
28449-2012)等國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)確定測(cè)評(píng)對(duì)象����、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容,形成測(cè)評(píng)方案和測(cè)評(píng)指導(dǎo)書���,為現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)提供指導(dǎo)���。
現(xiàn)場(chǎng)測(cè)評(píng)階段:測(cè)評(píng)機(jī)構(gòu)按照測(cè)評(píng)指導(dǎo)書實(shí)施等級(jí)測(cè)評(píng),并規(guī)范��、準(zhǔn)確�、完整記錄測(cè)評(píng)數(shù)據(jù)。現(xiàn)場(chǎng)測(cè)評(píng)主要包括單元測(cè)評(píng)和整體測(cè)評(píng)兩部分��。每個(gè)單元測(cè)評(píng)包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)實(shí)施和結(jié)果判定三個(gè)部分��。整體測(cè)評(píng)主要包括安全控制點(diǎn)間��、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)?�,F(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談����、檢查和測(cè)試三種測(cè)評(píng)方式。
報(bào)告編制階段:等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)在對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總����、風(fēng)險(xiǎn)分析和評(píng)價(jià)的基礎(chǔ)上����,找出信息系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距,形成等級(jí)保護(hù)測(cè)評(píng)結(jié)論����,提出整改建議,并編制測(cè)評(píng)報(bào)告���?!尽兑?guī)范》第十九條】
8.測(cè)評(píng)報(bào)告法人要審批���。測(cè)評(píng)報(bào)告由等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)按照公安部《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版(試行)》規(guī)定的格式編制�,由測(cè)評(píng)項(xiàng)目負(fù)責(zé)人(中級(jí)測(cè)評(píng)師以上)作為第一編制人,技術(shù)主管(高級(jí)測(cè)評(píng)師)負(fù)責(zé)審核��,機(jī)構(gòu)法人或其授權(quán)人員簽發(fā)或批準(zhǔn)����。等級(jí)保護(hù)測(cè)評(píng)報(bào)告加蓋等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力合格專用標(biāo)識(shí)?�!尽兑?guī)范》第二十條第二款】
9.向備案公安機(jī)關(guān)的兩次報(bào)備�����。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)項(xiàng)目合同簽訂及項(xiàng)目完成后5日內(nèi)��,分別向受理信息系統(tǒng)備案的公安機(jī)關(guān)書面報(bào)告有關(guān)情況��。
10.電力行業(yè)的報(bào)備�。電力行業(yè)生產(chǎn)、調(diào)度�、監(jiān)控系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)活動(dòng)需同時(shí)在國網(wǎng)寧夏電力公司書面報(bào)備?����!尽兑?guī)范》第二十二條第一、三款】
(三)在寧工作���,交給區(qū)等保辦的材料不能少
1.季度�、年度報(bào)送文件�����。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)每季度向自治區(qū)等保辦報(bào)送測(cè)評(píng)工作開展情況��,由自治區(qū)等保辦組織每年底編制本地網(wǎng)絡(luò)安全保護(hù)狀況分析報(bào)告����?!尽兑?guī)范》第二十三條】
2.年度檢查。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年度檢查時(shí)間為每年12月1日至31日�。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)向自治區(qū)等保辦提交以下材料:
(一)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年度檢查表;
(二)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本;
(三)年度等級(jí)保護(hù)測(cè)評(píng)工作總結(jié);
(四)其他所需材料。
自治區(qū)等保辦進(jìn)行項(xiàng)目回訪����、書面審核和現(xiàn)場(chǎng)檢查,并依據(jù)國家等保辦頒布的《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)評(píng)優(yōu)標(biāo)準(zhǔn)》從等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)技術(shù)能力��、測(cè)評(píng)管理規(guī)范化、工具配備��、測(cè)評(píng)師數(shù)量�����、系統(tǒng)測(cè)評(píng)數(shù)量等方面進(jìn)行量化打分�。【《規(guī)范》第二十六條】
3.異地測(cè)評(píng)機(jī)構(gòu)備案���。來寧異地等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)在每年12月1日至31日在自治區(qū)等保辦書面報(bào)備�����,提交《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)登記表》和推薦證書副本(復(fù)印件加蓋單位公章)����。自治區(qū)等保辦出具意見并向全區(qū)公布名單�����。原則上未列入公布名單的�����,第二年不得在寧開展等級(jí)保護(hù)測(cè)評(píng)活動(dòng)?���!尽兑?guī)范》第二十七條】
4.異地項(xiàng)目合同簽訂前要備案。等級(jí)測(cè)評(píng)機(jī)構(gòu)辦理備案手續(xù)�,應(yīng)于異地信息系統(tǒng)等級(jí)測(cè)評(píng)項(xiàng)目合同簽訂之前完成。辦理時(shí)��,測(cè)評(píng)機(jī)構(gòu)應(yīng)首先到中國信息安全等級(jí)保護(hù)網(wǎng)站下載《等級(jí)測(cè)評(píng)機(jī)構(gòu)異地測(cè)評(píng)項(xiàng)目備案表》���,準(zhǔn)備好備案相關(guān)文件�?!尽缎畔踩燃?jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)異地備案實(shí)施細(xì)則》第三條】
5.不定期參加會(huì)議。等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)每季度召開聯(lián)席工作會(huì)議�,本地測(cè)評(píng)機(jī)構(gòu)和進(jìn)入公布名單的異地測(cè)評(píng)機(jī)構(gòu)參會(huì)?�!尽兑?guī)范》第二十八條】
(四)違規(guī)的后果�����,你承擔(dān)不起
1.測(cè)評(píng)機(jī)構(gòu)以下雷區(qū)勿踩
等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的��,由自治區(qū)等保辦責(zé)令其限期改正;情形嚴(yán)重的����,予以通報(bào)。
(1)影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行����,危害被測(cè)評(píng)信息系統(tǒng)安全的;
(2)未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展等級(jí)保護(hù)測(cè)評(píng)、未按規(guī)定出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告或格式不符合要求的;
(3)非授權(quán)占有�����、使用�、未妥善保管等級(jí)保護(hù)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的;
(4)分包或轉(zhuǎn)包等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目、惡意競(jìng)爭(zhēng)��,擾亂測(cè)評(píng)市場(chǎng)秩序的;
(5)限定被測(cè)評(píng)單位購買��、使用指定信息安全產(chǎn)品的;
(6)承擔(dān)信息系統(tǒng)安全建設(shè)整改工作的;
(7)測(cè)評(píng)人員未取得等級(jí)保護(hù)測(cè)評(píng)師證書和上崗證從事等級(jí)保護(hù)測(cè)評(píng)活動(dòng)的;等級(jí)保護(hù)測(cè)評(píng)師人員變動(dòng)���,少于10人的;
(8)未按規(guī)定向自治區(qū)等保辦和受理信息系統(tǒng)備案的公安機(jī)關(guān)提交材料�����、報(bào)告情況或情況不實(shí)的;
(9)其他違反等級(jí)保護(hù)測(cè)評(píng)有關(guān)規(guī)定的行為�����?����!尽兑?guī)范》第三十一條】
2.測(cè)評(píng)師以下紅線勿蹭
等級(jí)保護(hù)測(cè)評(píng)師有下列情形之一的��,由自治區(qū)等保辦責(zé)令等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)督促其限期改正����,暫停參與等級(jí)保護(hù)測(cè)評(píng)工作;情節(jié)嚴(yán)重的,注銷其等級(jí)保護(hù)測(cè)評(píng)師證書��,并對(duì)其所在等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)���。
未經(jīng)允許擅自使用或泄露����、出售等級(jí)保護(hù)測(cè)評(píng)活動(dòng)中收集的數(shù)據(jù)信息�、資料或信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告的;
有涂改、出借�����、出租和轉(zhuǎn)讓等級(jí)保護(hù)測(cè)評(píng)師證書和上崗證行為的;【《規(guī)范》第二十九條】
3.異地測(cè)評(píng)機(jī)構(gòu)更要謹(jǐn)慎
異地等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)違反本《規(guī)范》第二十九條����、三十條、三十一條相關(guān)規(guī)定的����,自治區(qū)等保辦將取消報(bào)備資格,納入測(cè)評(píng)活動(dòng)“黑名單”���,不得在寧夏開展等級(jí)保護(hù)測(cè)評(píng)活動(dòng)���。【《規(guī)范》第三十二條】
等保測(cè)評(píng)咨詢
