網路安全測評管理辦法

A. 貴陽市計算機信息網路安全保護管理辦法

第一章總則第一條為加強計算機信息網路安全保護管理，促進信息化建設健康發展，維護合法權益、公共利益和社會穩定，根據《中華人民共和國計算機信息系統安全保護條例》等法律、法規，結合本市實際，制定本辦法。第二條本市行政區域管理許可權范圍內的計算機信息網路安全保護管理活動，適用本辦法。

涉及國家秘密的計算機信息系統按照有關保密法律、法規的規定執行。第三條計算機信息網路安全堅持「保護與管理並重」和「誰主管、誰負責與誰運營、誰負責」的原則。第四條市、區（市、縣）人民政府應當加強計算機信息網路安全保護管理工作的領導，將該項工作納入本級人民政府社會管理綜合治理和年度目標考核。第五條市公安機關負責全市計算機信息網路安全保護管理工作，其所屬的網路安全保衛部門具體負責計算機信息網路安全保護管理的日常工作。

區、縣（市）公安機關按照職責許可權負責本轄區范圍內的計算機信息網路安全保護管理工作。

國家安全機關和保密、密碼、工商、文化廣播電影電視、工業和信息、監察及其他有關行政主管部門，按照各自職責，做好計算機信息網路安全保護管理的相關工作。

計算機信息網路運營、使用單位，應當按規定做好計算機信息網路安全保護管理的相關工作。第二章監督管理職責第六條公安機關在計算機信息網路安全保護管理工作中履行下列職責：

（一）指導、監督、檢查計算機信息網路運營、使用單位建立並落實各項安全保護制度和安全保護技術措施；

（二）指導、監督、檢查計算機信息網路中的公共信息服務、信息安全等級保護和計算機信息網路安全服務機構的安全測評等工作，發現公共信息中含有本辦法第二十四條所列信息的，應當通知計算機信息網路運營、服務單位予以刪除，必要時依法中止對發送者的網路服務；

（三）辦理有關計算機信息網路的備案手續；

（四）負責受理危害計算機信息網路安全事件、案件的報告、舉報，勘查現場並收集相關證據，依法查處違反計算機信息網路安全管理的違法行為；

（五）指導或者組織計算機信息網路運營、使用單位從事計算機信息網路安全保護工作的人員進行計算機信息網路安全培訓；

（六）負責計算機病毒防治管理工作；

（七）發生計算機信息網路重大突發事件，危及國家安全、發生公共安全、社會穩定及重要計算機信息網路安全等緊急情況時，按照法定程序報批後，要求相關單位採取相應的緊急控制措施；

（八）法律、法規、規章規定的其他職責。第七條國家安全機關負責計算機信息網路國家安全事項管理工作，依法查處利用計算機信息網路危害國家安全的違法行為。第八條保密行政管理部門依法對有關計算機信息網路保守國家秘密工作實施監督管理。第九條密碼管理部門應當加強對計算機信息系統內密碼產品使用單位的監督、檢查和指導，定期對計算機信息系統安全等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，並對密碼產品使用單位的操作和管理人員進行培訓。

密碼管理部門在監督檢查過程中發現存在安全隱患、違反密碼管理規定或者未達到密碼標准要求的，應當按照密碼管理的相關規定進行處理。第十條計算機信息網路運營、使用單位應當履行下列職責：

（一）負責本單位計算機信息網路安全保護管理工作，建立健全安全保護管理制度，落實安全保護技術措施，保障本單位網路運行安全和信息安全；

（二）負責對本網路相關用戶的安全教育培訓；

（三）發現公共信息中含有危害信息網路安全、有害數據或者利用網路實施違法行為，應當立即停止傳輸違法內容，保留有關原始記錄，在24小時內向所在地公安機關報告；

（四）協助、配合公安機關、國家安全機關等部門依法查處違法行為；

（五）如實向公安機關、國家安全機關及其他有關部門提供計算機信息系統安全保護的信息資料、互聯網基礎數據及其他數據文件；

（六）法律、法規、規章規定的其他職責。第三章安全保護第十一條計算機信息系統實行安全等級保護制度。

計算機信息系統的安全保護等級分為五個等級，其確定的原則、標准、各級別安全保護及管理內容按照國家有關規定執行。

涉密信息系統應當根據國家信息安全等級保護的基本要求，按照有關規定和技術標准，結合系統實際情況進行保護。

B. 【網路安全入門】等保測評流程包含幾個步驟

等保測評全稱是信息安全等級保護測評，它不僅可以降低信息安全風險，還可以提高信息系統的安全防護能力，有著非常重要的作用。說起等保測評，很多人都不了解等保測評的流程，下面我就為大家詳細講解一下。

等保測評流程包含幾個步驟?等保的步驟包含五個方面：等保定級、等保備案、等級測評、系統安全建設、監督檢查。

等保定級

信息系統安全等級，由系統運用、使用單位依據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級，有主管部門的，應當經主管部門審批。對於擬確定為四級及以上信息系統，還應經專家評審會評審。新建信息系統在設計、規劃階段確定安全保護等級。

總共分為五個等級：第一級(自主保護級)、第二級(指導保護級)、第三級(監督保護級)、第四級(強制保護級)、第五級(專控保護級)。

等保備案

運營、使用單位在確定等級後到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營後30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核，對符合要求的在10個工作日內頒發等級保護備案證明。對於定級不準的，應當重新定級、重新備案。對於重新等級的，公安機關一般會建議備案單位組織專家進行重新定級評審，並報上級主管部門審批。

等級測評

運營、使用單位或者主管部門應當選擇合規測評機構，定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評，四級及以上信息系統至少每半年進行一次等級測評，五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告，並出具測評結果通知書，明示信息系統安全等級及測評結果。

建設整改

運營使用單位按照管理規范和技術標准，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定並落實安全管理制度。系統建設整改，對於未達到安全等級保護要求的，運營、使用單位應當進行整改，整改完成應當將整改報告報公安機關備案。

監督檢查

公安機關依據信息安全等級保護管理規范，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

受理備案的公安機關會對三級、四級信息系統進行檢查，檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。新系統開發建設之後，要及時開展等保測評或相關安全測試，避免系統帶病上線，消除安全隱患。

C. 等級保護測評流程是什麼

等保測評全稱信息安全等級保護測評，是經公安部門認證的具有資質的測評機構，依據國家信息安全等級保護規范規定，受有關單位委託，按照有關管理規范和技術標准，對信息系統安全等級保護狀況進行檢測評估的活動。
如何進行等保測評?具體流程如下：
1、系統定級，對業務、資產、安全技術和安全管理進行調研，確定定級系統，准備定級報告，提供協助定級服務，輔助用戶完成定級報告，組織專家評審。
2、定級備案，持定級報告和備案表到所在地公安網監進行系統備案。
3、整改建設，參照定級要求和標准，對信息系統整改加固，建設安全管理體系。
4、等級測評，測評機構對信息系統等級測評，形成測評報告。
5、監督檢查，監督、檢查、自查，整改，違法違規情況，依法處理。

D. 等級保護測評流程

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

網路安全等級保護備案分五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例

E. 等級保護測評服務三級,多久做一次

三級等保現在是每年做一次測評。

等級保護備案分為五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

辦理等級保護備案的流程是：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

F. 有沒有詳細的網路安全等級保護流程介紹謝謝了。

開展網路安全等級保護工作的五個規定基本動作：定級、備案、建設整改、等級測評、監督檢查。具體細節：

定級階段：

網路運營者確定等級保護對象，明確定級對象，梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。

備案階段：

第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時，在明確安全保護等級後需在10個工作日內，到縣級以上機關備案，提交相關材料。

建設整改階段：

安全建設整改工作分五步進行：

落實安全建設整改工作部門，建設整改工作規劃，進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略，制定網路安全建設整改方案
根據網路安全建設整改方案，實施安全建設工程;
開展安全自查和等級測評，及時發現安全風險及安全問題，進一步開展整改。

注意：全國各地區政策不一樣，以實際情況為准。

等級測評階段：

網路安全等級保護測評過程分為4個基本活動：測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。

監督檢查階段：

每年至少開展一次安全檢查，涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時，機關可以委託社會力量提供技術支持。

以上都是摘自時代新威官網，裡面等保干貨非常多，解釋更加規范、准確。

G. 等級保護測評流程

等級保護測評流程是：

1、摸底調查：摸清信息系統底數，掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。

2、確立定級對象：應用系統應按照業務類別不同單獨確定為定級對象，不以系統是否進行數據交換、是否獨享設備為確定定級對象。

3、系統定級：定級是信息安全等級保護工作的首要環節，是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。

4、專家批審和主管部門審批：運營使用單位或主管部門在確定系統安全保護等級後，可以聘請專家進行評審。

5、備案：備案單位準備備案工具，填寫備案表，生成備案電子數據，到公安機關辦理備案手續。

6、備案審核：受理備案的公安機關要及時公布備案受理地點、備案聯系方式等，對備案材料進行完整性審核和定級准確審核。

7、系統測評：第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。

8、整改實施：根據測評結果進行安全要求整改。

H. 網路安全等保測評的人員要求一般是什麼

三級等保每年測評一次，二級等保兩年測評一次。二級至少應具有6名以上等級測評師，其中中級測評師不少於2名；三級（含）以上信息系統等級測評工作的測評機構至少應具有 10 名以上等級測評師，其中中級測評師不少於4名，高級測評師不少於2名。

網路安全等級保護一共分五級：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

I. 新疆維吾爾自治區網路安全管理條例

第一章總則第一條為了維護國家安全和社會公共利益，保障網路安全，保護公民、法人和其他組織的合法權益，實現自治區社會穩定和長治久安，根據《中華人民共和國網路安全法》《中華人民共和國反恐怖主義法》和有關法律法規，結合自治區實際，制定本條例。第二條自治區行政區域內建設、運營、維護和使用網路以及網路安全的監督管理，適用本條例。第三條自治區網路安全工作堅持黨的領導，堅持黨組織全覆蓋。

自治區建立健全網路安全保障體系，強化網路安全監督管理，鼓勵網路技術創新和應用，加強網路安全人才培養，提高網路安全保護能力。第四條自治區實行網路安全綜合治理。各級人民政府、行業主管或者監管部門應當依法履行相應職責；網路運營者、網路使用者應當遵守法律法規和本條例規定，享有法定權利，履行法定義務。

國家機關、人民團體、企事業單位和個人應當積極參與、相互配合，共同維護網路安全秩序。

按照確保網路安全、誰主管誰負責和屬地管理的原則，自治區實行網路安全責任制和年度目標責任考核制，並將其納入社會治安綜合治理。第五條自治區網信部門負責統籌協調自治區行政區域內網路安全工作和相關監督管理工作，建立統一指揮、協同配合、資源共享、高效處置的網路安全工作機制，編制並組織實施自治區網路安全規劃。

州（市、地）縣（市、區）網信部門負責統籌協調本行政區域網路安全工作和相關監督管理工作。

縣級以上通信、公安、經信、保密等部門依照有關法律法規和本條例的規定，在各自職責范圍內負責網路安全保護和監督管理的相關工作。

國家安全機關在網路領域依法行使維護國家安全的職責。第六條網信、通信、公安等部門應當設置舉報平台，公示舉報電話和電子郵箱。任何個人和組織有權對危害網路運行安全、信息安全的行為進行舉報。接到舉報的部門應當依法及時作出處理；不屬於本部門職責的，應當及時移送有權處理的部門。

有關部門應當對舉報人的相關信息予以保密，並對舉報有功人員進行獎勵。第七條自治區倡導誠實守信、健康文明的網路行為，建立完善網路安全宣傳教育制度和政府、學校、家庭、社會相銜接工作機制，經常性地開展網路安全宣傳教育活動，把網路安全法律法規納入普法內容，增強公民特別是青少年的法治意識和網路安全意識。第二章網路安全保障與促進第八條自治區人民政府應當加大投入，制定促進網路安全產業發展的政策措施，支持多語種等網路安全技術研發和高科技產品推廣，支持高等院校、科研機構和企業圍繞社會穩定和長治久安，開展網路安全技術創新，研究開發網路安全新技術、新產品。

縣級以上人民政府應當依據國家和自治區網路安全規劃，建立健全網路安全保障機制，加大對網路安全技術防護、網路安全監測、網路安全風險評估、網路安全應急響應，以及網路安全宣傳教育培訓等方面的投入。第九條自治區督促網路運營者採用國家和行業標准，支持高校、科研機構、企業和網路相關行業組織參與網路安全國家標准、地方標准和行業標準的制定。第十條自治區網信部門應當統籌協調有關部門建立網路安全保障工作機制，完善網路安全防護體系，提高網路安全風險預測和管控能力。第十一條縣級以上網信部門應當對本行政區域內投資規模較大、跨部門、跨行業、涉及國計民生的信息化項目的安全性和可能存在的風險，組織進行論證評審。

各行業、各部門應當對本行業、本部門信息化項目的安全性和可能存在的風險，組織進行論證評估。第十二條網路運營者應當遵守法律法規的規定，享有法定權利，承擔社會責任，履行網路安全保護義務，在進行網路建設、運營和服務時，應當執行國家標準的強制性要求，有效應對網路安全事件，防範網路違法犯罪活動，維護網路數據的完整性、保密性和可用性，保障網路安全、穩定運行。

網路運營者應當確保網路安全經費投入，保障網路安全技術防護設施建設、運行維護、人員培訓、安全測評等網路安全所需資金。第十三條網路運營者應當履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，嚴格身份認證和許可權管理；

（二）採取技術措施，防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為；

（三）加強技術監控，監測、記錄網路運行狀態、網路安全事件，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據容災備份和加密認證等措施；

（五）法律、法規規定的其他義務。

J. 信息系統的信息安全等級保護的測評是必須的嗎有沒有專門的出台了法律法規監管細則規范了這件事

1、能不能自己測評要看你的等級保護備案時的級別，2級以上都要公安部門和上級主管部門測評的。
2、等保很多要求標准在不斷修改中，建議在對自己的信息安全整改過程中，引入有資質的第三方，這樣會比較容易些。 二級及以下可以自己測評，也可以不做測評。3級以上必須經過測評。

《信息安全等級保護管理辦法》第十四條第一款規定： 信息系統安全保護等級為第三級的信息系統應當每年至少進行一次等級測評。