1、依据国家网络安全法律法规和等级保护政策标准开展等级保护工作;
2、确定等级保护对象;
3、更加体现了“一个中心、三重防护” 的理念;
4、建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系;
5、开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。
1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
3、对所定级的系统进行专家评审(二级系统也需要专家评审)。
4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它系统定级备案证明材料,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
5、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)。
6、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《测评报告》提交网监部门进行备案。
7、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
测评准备活动阶段 首先,被测评单位在选定测评机构后,双方签订《测评服务合同》,合同中对项目范围、项目内容、项目周期、项目实施方案、项目人员、项目验收标准、付款方式、违约条款等等内容逐一进行约定。 同时,测评机构应签署《保密协议》。《保密协议》一般分两种,一种是测评机构与被测单位(公对公)签署,约定测评机构在测评过程中的保密责任;一种是测评机构项目组成员与被测单位之间签署。 项目启动会后测评方开展调研,通过填写《信息系统基本情况调查表》,掌握被测系统的详细情况,为编制测评方案做好准备。 | |
测评方案编制阶段 该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。 | |
现场测评阶段 现场测评活动是开展等级测评工作的核心活动,包括技术测评和管理测评。其中技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。 |
分析与报告编制阶段 此阶段主要任务是根据现场测评结果,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。 | |
整改阶段 主要根据测评机构出具的差距测评报告和整改建议进行整改,此阶段主要由备案单位实施,测评机构协助,客户可以根据自身的实际情况,把整改分为短期、中期、长期。 | |
验收测评阶段 测评流程与之前的流程相同,主要是检查整改的效果。 |