系統(tǒng)安全等級保護(hù)測評流程 網(wǎng)絡(luò)安全等級保護(hù)測評要求

系統(tǒng)安全等級保護(hù)測評流程：

第一、定級

信息系統(tǒng)安全等級，由系統(tǒng)運(yùn)用、使用單位根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》自主確定信息系統(tǒng)的安全保護(hù)等級，有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審批。對于擬確定為四級及以上信息系統(tǒng)，還應(yīng)經(jīng)專家評審會評審。新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級。

第二、備案

運(yùn)營、使用單位在確定等級后到所在地的市級及以上公安機(jī)關(guān)備案。新建二級及以上信息系統(tǒng)在投入運(yùn)營后30日內(nèi)、已運(yùn)行的二級及以上信息系統(tǒng)在等級確定30日內(nèi)備案。公安機(jī)關(guān)對信息系統(tǒng)備案情況進(jìn)行審核，對符合要求的在10個(gè)工作日內(nèi)頒發(fā)等級保護(hù)備案證明。對于定級不準(zhǔn)的，應(yīng)當(dāng)重新定級、重新備案。對于重新定級的，公安機(jī)關(guān)一般會建議備案單位組織專家進(jìn)行重新定級評審，并報(bào)上級主管部門審批。

第三、開展等級測評

運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)選擇合規(guī)測評機(jī)構(gòu)，定期對信息系統(tǒng)安全等級狀況開展等級測評。三級及以上信息系統(tǒng)至少每年進(jìn)行一次等級測評，四級及以上信息系統(tǒng)至少每半年進(jìn)行一次等級測評，五級應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。測評機(jī)構(gòu)應(yīng)當(dāng)出具測評報(bào)告，并出具測評結(jié)果通知書，明示信息系統(tǒng)安全等級及測評結(jié)果。

第四、系統(tǒng)安全建設(shè)

運(yùn)營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)安全管理制度。

系統(tǒng)建設(shè)整改。對于未達(dá)到安全等級保護(hù)要求的，運(yùn)營、使用單位應(yīng)當(dāng)進(jìn)行整改。整改完成應(yīng)當(dāng)將整改報(bào)告報(bào)公安機(jī)關(guān)備案。

第五、監(jiān)督檢查

公安機(jī)關(guān)依據(jù)信息安全等級保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營使用單位開展等級保護(hù)工作，定期對信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

受理備案的公安機(jī)會對三級、四級信息系統(tǒng)進(jìn)行檢查，檢查頻次同測評頻次。五級信息系統(tǒng)接受國家制定的專門部門檢查。新系統(tǒng)開發(fā)建設(shè)后，及時(shí)開展等級保護(hù)測評或相關(guān)安全測試，避免系統(tǒng)帶病上線，將安全隱患消除在萌芽狀態(tài)。

網(wǎng)絡(luò)安全等級保護(hù)測評要求：

安全測評通用要求是指不管等級保護(hù)對象形態(tài)如何，均需遵循的安全測評要求。安全測評擴(kuò)展要求是指針對云計(jì)算安全擴(kuò)展要求、大數(shù)據(jù)安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求提出的特殊安全測評要求。