产品介绍
信息安全等级保护测评工作方案
1、 开展专家评审会(0.5个工作日)
申请开展网络安全等级报定级评审活动,对准备开展网络安全等级保护测评的系统进行评审。
2、 前期调研工作(3个工作日)
目前测评需要根据《GBT22239-2019信息安全技术网络安全等级保护基本要求》开展测评工作,因此必须了解基础网络架构的情况。
3、 定级备案工作(8个工作日)
根据《GBT22239-2019信息安全技术网络安全等级保护基本要求》开展信息系统的定级申报工作。针对所需要定级的信息系统,分析所属类型、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级,完成自定级报告材料、备案材料的整理。
将定级材料递交公安局主管单位报备,包括《自主定级报告》《备案表》《领导小组文件》。
等待公安局主管单位颁发备案证明的编号,上传国家公安部检测机构管理平台。
4、 报备国家公安部平台(20-30个工作日)
根据定级备案结果,向国家公安部检测机构管理平台申报开展等保测评的相关信息,等待申请通过。
5、 首次会议(0.5个工作日)
由项目负责人主持进行首次会议,对项目组成员、测评工作流程、现场工作方式、项目计划和配合需求进行介绍,并回答客户方提出的相关问题。
6、 基本情况调查及方案制作(3个工作日)
对信息系统进行摸底、分析和梳理,提出测评方案,以便于并对信息系统进行安全等级保护测评。针对被测评方的待测评系统,进行详尽的基本情况调查,并填写《信息系统基本情况调查表》,收集待测系统的定级报告、备案表以及每个系统的网络拓扑图,如客户方无详细的网络拓扑图,将配合客户完成网络拓扑图的绘制。
7、 现场数据采集(20个工作日)
基于《GBT22239-2019信息安全技术网络安全等级保护基本要求》的等级保护测评服务(包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评)。
8、 安全设备扫描与渗透(5个工作日)
在业务非高峰期,通过漏扫采集需要的数据,作为现场数据分析判定的参考依据。
9、 末次会议(0.5个工作日)
由项目负责人主持进行末次会议,对项目测评结果进行分析和解答,便于后期开展整改工作。
10、 整改咨询(长期)
提供长期的整改咨询,整改时长根据被测单位自身实际情况确定。
11、 等级保护测评(15个工作日)
对已完成系统定级的信息系统进行正式的信息安全等级保护测评。从安全技术和安全管理两个方面,验证系统是否还存在等级保护不符合项,分析不符合项的风险值及相应分数。确定信息系统的安全保障能力符合国家等级保护的相关要求,并最终获得公安机关认可的信息系统安全等级保护测评报告。
12、 材料递交(2个工作日)
递交检测报告和整改方案,并取得备案证明。
办理流程
-
准备资料
准备基础资料
充分了解需求 -
咨询指导
咨询师上门讲解
解答认证疑惑 -
整理申报
咨询师编写材料
讲解审核要点 -
全程陪审
专家陪审指导
不符合项纠正 -
出证无忧
出证寄送督促
专家认证规划
必要条件
网络安全等级保护
被 测 方 测 前 准 备 材 料
系统材料:
【一】 定级报告、备案表
系统信息:
【一】 与实际一致的网络拓扑图
【二】 系统业务描述
【三】 网络设备、安全设备、服务器、应用系统清单
示例 | 网络/安全设备 | 设备名称 | 系统及版本 | 品牌及型号 | 数量 |
交换机 | V5.0 | 华为S7506 | 2 | ||
边界防火墙 | V6.0 | 天融信FW4000 | 1 | ||
服务器 | 设备名称 | 操作系统 | 数据库 | 数量 | |
数据库服务器 | Linux5.3 | Oracle 11g | 2 | ||
应用 | 业务应用系统/平台名称 | 业务应用软件及版本 | 主要功能 | 开发商 | |
门户网站 | XX内容管理系统2.0 | 信息发布 | XXXXX |
管理制度:
【一】 现有管理制度
示例 | 序号 | 文档名称 | 主要内容 |
1 | 安全管理方面 | 安全策略、安全方针等 | |
2 | 人员管理方面 | 人员录用、培训、离岗方面 | |
3 | 岗位管理方面 | 岗位设置、岗位职责、岗位分离方面 | |
4 | 系统建设方面 | 系统建设相关资料 | |
5 | 安全运维方面 | 运维方面的制度和规范 |
【二】 制度执行记录和系统相关文档
配合人员:
【一】 系统相关管理员
特别提醒:管理员应在测评前对梳理各设备\系统的管理密码,避免核查时无法登录的情况。
常见问题
-
客户包括哪些行业?客户群体包括政府、能源、金融、教育、卫生、企事业等多个行业。