我的位置 首页  >  新闻动态  >  国内新闻

等级测评工作的基本含义、目的、时机

来源:科技成果转化中心时间:2018-06-25
      

从今天其我们将介绍等级测评工作的内容、方法、流程等内容,以及等级测评机构的选

择、等级测评报告的编制等内容。那么首当其冲摆在我们面前的是,等级保护的基本含义,当然我们今天会将网络安全等级保护测评简称“等级测评”做一次申明。因为网络安全等级保护测评的简称,在我们口头交流以及文字交流中,出现频率非常之高。在一般场合,我们谈及的等级测评既是网络安全等级测评。那么等级测评的含义,其实存在不同的层面与理解,在以往的文章中,也有所体现。今天将重新从等级测评的基本含义一起学习等级保护。本期内容处理等级测评的基本含义,还会和大家一起学习到等级测评的目的、开展等级测评的时机以及等级测评机构的业务范围等内容。

那么等级测评的基本含义又是什么呢?接下来一起学习!

 网络安全等级保护测评工作(下称“等级测评”)是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级测评包括标准符合性评判活动和风险评估活动,即依据网络安全等级保护的国家标准或行业标准,按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。

为加强对测评机构及测评人员管理,稳步推进等级测评机构建设,规范等级测评活动,提高测评机构、测评人员技术能力和水平,公安部在总结等级保护测评体系建设试点工作的基础上,向各地公安机关下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[ 2010] 303号),在全国组织开展网络安全等级保护等级测评体系建设工作,以保障等级保护工作的顺利开展。根据通知精神,国家信息安全等级保护工作协调小组办公室负责隶属国家网络安全职能部门和重点行业主管部门的申请单位提出的申请受理、审核推荐和监督检查等工作,各省级信息安全等级保护工作协调(领导)小组办公室(下称“省级等保办”)负责等级测评机构的申请受理、审核推荐和监督检查等工作。中关村信息安全等级保护测评机构联盟负责测评机构的能力评估和培训工作。

为进一步加强对等级测评机构的管理,规范等级测评行为,提高测评技术能力和服务水平,201 8年公安部制定下发了《网络安全等级保护测评机构管理办法》。自该文件实施之日起,《信息安全等级保护测评机构管理办法》《信息安全等级保护测评机构异地备案实施细则》及各地自行制定的与本办法规定不符的规范性文件作废。各地公安机关要按照《网络安全等级保护测评机构管理办法》的要求,根据本地网络备案数据和等级保护工作进展情况,严把审核关,有序稳妥地开展测评机构审核推荐工作。

等级测评的目的又是什么呢?其实以前谈及网络安全等级保护制度过程中,也有谈及,今天在此再做一次梳理。

根据《网络安全法》和《管理办法》的规定,网络按照《基本要求》等技术标准安全建设完成后,网络运营者应当选择符合规定条件的测评机构,定期对网络的安全保护状况开展等级测评

通过测评,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求,二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。

什么时间是开展等级测评的时机,这也是很多人比较关注的一个问题。

  1.安全建设整改前

 在开展网络安全建设整改之前,网络运营者可以通过等级测评,分析判断目前网络所采取的安全措施与等级保护标准要求之间的差距,分析安全方面存在的问题,查找网络安全保护建设整改需要解决的问题,形成安全建设整改的安全需求。

2.安全建设整改后

网络安全建设整改完成后,网络运营者应通过等级测评对网络的等级保护措施落实情况与《基本要求》的要求之间的符合程度进行评判,形成网络安全等级测评报告,如果发现问题将继续整改。

  3.定期开展等级测评

网络运行维护期间,应定期进行安全等级测评,及时发现和分析网络存在的安全问题。《管理办法》要求网络建设完成后,网络运营者当选择符合规定条件的测评机构,依据《测评要求》等技术标准,定期对网络的安全保护状况开展等级测评。第三级(含)以上网络应当每年至少进行一次等级测评,重要部门的第二级网络可以参照上述要求开展等级测评工作。

那么等级测评机构的业务范围又有哪些呢?

等级保护测评机构有三类,分别是由国家信息安全等级保护工作协调小组办公室推荐的网络安全职能部门测评机构、行业性测评机构及由省级等保办推荐的地方性测评机构测评机构提供测评服务不受地域、行业、领域的限制。属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被测评网络备案公安机关。

本期内容,主要概述了等级测评的基本含义、等级测评的目的、开展等级测评的时机以及等级测评机构的业务范围等内容,这期内容应该可以解决很多网络运营者的疑惑,有关等级测评工作的开展,会有一个更清晰的认知。从寻找合适的测评机构,完成测评工作,以及测评前后需要准备或深入的工作,在学习等级保护这些内容后,将更加得心应手。既可以在一定程度上做到自家网络系统查漏补缺,一定程度上提升网络安全。又可以在面对国家法律法规过程中,做到更合规性更强。

本期内容在此,不再做过多展开,期待所有从事等级测评工作的朋友,以及网络运营者能够在我们不断更新的文章中,得到相应的帮助与提高,在面对未来工作中更加得心应手。

……往期也精彩……

分享是美德,传播是善良

网络安全等级保护工作的开展情况

健全完善网络安全等级保护制度的主要内容和任务

国家网络安全等级保护制度的体系架构

健全完善网络安全等级保护制度的基本思路

健全完善网络安全等级保护制度的重要性及指导思想

网络安全等级保护制度的主要内容(上)

网络安全等级保护制度的主要内容(下)

网络安全等级保护制度与关键信息基础设施保护存在什么关系?


       (科技成果转化中心供稿)