网站等级保护上海文档介绍内容(上海市计算机一级成绩查询)

1、等级保护标准有哪些？

* GB 17859-1999 《计算机信息系统 安全等级保护划分准则》

* GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》

* GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

* GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

* GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》

* GB/T 25058-2019 《信息安全技术 网络安全等级保护实施指南》

* GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

* GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》

* GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》

其他相关法律和规范

* 《中华人民共和国网络安全法》规定必须要做等级保护

* 信息安全测评联盟“网络安全等级保护测评高风险判定指引”（暂未正式发布）

2、等级保护定级备案

1）等级保护定级准备

依照GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》和上级主管部门要求对信息系统进行定级。

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。

确定网络安全保护等级的一般流程如下：

2）等级保护定级专家评审

等级保护行业相关专家3人，企业方负责等级保护项目的项目经理，网络管理员、运维管理员，应用管理员等。会议过程中，专家可能会对信息系统的基本状况进行询问。如：网络结构，业务主体，服务对象，数据备份情况，安全运维情况等。

专家评审流程：专家签到 → 确定专家组组长 → 定级阐述 → 专家就定级相关问题进行提问 → 专家对定级结果进行讨论 → 修改专家评审意见 → 签字 → 定级评审会议结束。

3）等级保护备案提交资料

第二级以上信息系统，在安全保护等级确定后30日内，由其运营、使用单位或者其主管部门（以下简称“备案单位”）到所在地设区的市级以上公安机关办理备案手续。办理备案手续时，应先与所在地设区的市级以上公安机关办（所在地网安大队）取得联系，询问所需的备案材料，不同地区所需的备案材料不尽相同。

依照网安大队的要求将备案资料准备齐全后，到网安大队进行备案。

备案时应提交的材料（不同地区备案资料不完全一样）

* 定级报告，纸质版一式两份加盖公章 电子版一份刻录光盘（纸质版扫描件）

* 备案表

* 工商营业执照、组织机构代码证和税务登记证 或三证合一，复印件一份加盖公章，原件扫描件刻录光盘。

* 法人身份证，如非法人亲自办理备案则需要法人授权书（法人亲笔签字）、被授权人身份证。

* 网络安全承诺书

* 24小时紧急联系人

* 三级及以上信息系统提供备案表表四中的全部内容。

* 对应管理区网安大队要求提供的其他资料

4）网安部门受理

办理备案前应先与网安支队或网安总队约定好备案时间，并准时到达网安支队或网安总队办理备案。经审核符合等级保护要求的，公安机关应当自收到备案材料之日起的十五个工作日内，将加盖本级公安机关印章（或等级保护专用章）的《备案表》一份反馈备案单位，一份存档；对不符合等级保护要求的，公安机关公共信息网络安全监察部门应当在十个工作日内通知备案单位进行整改，并出具《信息系统安全等级保护备案审核结果通知》。

备案通过的单位，将获得信息系统安全等级保护备案证明，如图所示：

3、等级保护差距分析

相当于等级保护的差距测评（可选，不强制），对信息系统预先进行的一次模拟测评，目的是发现信息系统安全现状与国家等级保护对应等级安全防护能力之前的差距，出具差距分析报告及整改意见报告。

1）现场访谈

测评工程是在测评过程中需要网络管理员、服务器管理员、数据库管理员、应用管理员等人员进行现场配合，主要的工作方式为：测评工程师说明需要检查哪些相关的安全策略，由客户方的工程师进行操作查询，测评工程师负责记录。人员：网络管理员、服务器管理员、数据库管理员、应用管理员等。文档：公司所有有关的安全管理制度、规范、手册等。

2）渗透测试及漏洞扫描

等级保护二级信息系统需进行漏洞扫描，三级信息系统需进行渗透测试，整改完成需再次进行测试验证，确认漏洞修复有效。

3）差距整改建议

结合企业自身情况进行整改。依据信息安全测评联盟的“网络安全等级保护测评高风险判定指引”进行高风险判定，同时在渗透测试和漏洞扫描中发现的高、中危漏洞必须修复，如漏洞修复会对企业的相关业务造成影响可采用其它方式降低漏洞被利用的可能性，例如限制访问，更改端口号等。信息系统整改时需注意企业所投入的人力、物力、财力，综合考量后再决定整改那些不符合项。

4、等级保护安全加固

根据等级保护差距分析结果，出具安全加固及整改建议方案，并根据方案进行整改，包括：系统补丁升级、网络及安全产品配置整改、增加相应的安全产品、各种环境整改、制度评估及整改等。

5、等级保护测评

拥有国家等级测评资质的第三方测评机构对企业的信息系统进行等级测评，并出具等级测评报告，二级一般2年测评一次，三级1年测评一次，其他等级一般涉及不多，暂不做介绍。

1）网络安全等级保护测评的四个阶段

1）网络安全等级保护测评的基本内容

6、等级保护监督检查

公安机关开展等级保护监督检查，其目的在于全面了解掌握各行业、各地区、各单位网络安全等级保护、等级测评、安全建设整改等工作部署和贯彻落实情况，总结开展网络安全等级保护工作的成功经验，查找分析工作中存在的突出问题，督促、指导各备案单位进一步落实网络安全等级保护制度的各项要求，建立健全等级保护监督检查工作的长效机制。检查核实信息系统运营使用、建设单位的等级保护工作开展和落实情况，重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。

① 等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；

② 按照网络安全法律法规、标准规范的要求制定具体实施方案和落实情况；

③ 信息系统定级情况，信息系统变化及定级变动情况；

④ 设施建设情况和整改情况；

⑤ 网络安全管理制度建设和落实情况；

⑥ 网络安全保护技术措施建设和落实情况；

⑦ 选择使用网络安全产品情况；

⑧ 聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

⑨ 自行定期开展自查情况；

⑩ 开展网络安全知识和技能培训情况。

企信360提供个人及企业风险筛查、智能风控分析决策和中小企业信用风险控制等综合信用服务，并通过对数据的积累、理解、挖掘、分析和应用，持续完善产品体系与服务模式。

企信360作为我国信用服务行业的开拓者和先行者，经过多年的探索与发展，在综合信用服务领域积累了雄厚的技术实力与丰富的实践经验，未来必将以更专业的技术和更优质的服务，与客户及行业伙伴协同互助，共同推进社会信用体系建设与发展。

中雄世纪征信有限公司主要针对金融、电商、教育、医疗、物流、政务平台办理资质认证服务，服务包含：ICP证、EDI证、ISP证、呼叫中心证、三级等保测评、文网文证、可信认证、诚信认证、创宇信用、SSL证书、中企信认证。旗下梵天科技是河北省股权交易所挂牌企业。