×

【每日一记2】+第3天+等级保护工作
  

一个无趣的人 12541人觉得有帮助

{{ttag.title}}
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。几个关键词:1、信息系统,不是整个单位,而是按照不同系统来进行防护的;2、分等级进行防护和管理,理清重要系统和非重要系统,对重要的系统进行重点管理,不是所有系统都是一样的防护。那么等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评,出具相应的信息系统测评报告。你的测评必须是有测评资质的机构,否则你找安全厂家或者集成商或者其他人做的安全测评,不是等级保护测评,至多只能叫做安全测试,你的测评结果公安部门是不认可的,所以如果你想做等级保护测评,务必找有资质的测评机构去做。
测评周期的要求:信息安全等级保护管理办法(公通字[2007]43号)中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”这就是我们说的三级系统每年必须要做一次测评,那么二级系统呢,我们翻阅了大量资料后没有找到关于二级系统明确的时间要求,从等保的定义和等保工作流程上,可以知道:定级备案是第一和第二步,测评、整改和监督检查是后续动作,所以说只有你定级了,就得去做等保测评,二级系统原则上是可以自测评的,但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的,所以还是得委托测评机构进行测评,那么二级系统第一次定级备案后是一定需要去做等保测评工作的,后续经过大量用户实践和主管单位的指导,我们正常是二级系统两年左右做一次测评,为什么是两年呢?一、系统相对三级没那么重要,所以时间上相对长点;二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。另外一些行业明确规定二级系统测评周期是两年,如电力行业。据说相关部门也在制定新的政策,新政策中也是明确二级系统的测评周期是两年。
最后不得不等建议大家,系统定级备案后,测评及后续工作正常开展起来,你不做测评、不做等保就是网络安全义务没有履行到位,对应着网络安全法都有相关处罚的。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

新手942987 发表于 2019-12-15 09:51
  

12.12狂欢一周 +48 S豆 详情>

文章很实用,有借鉴价值!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人