网络安全测评几年一次

㈠ 网络安全等保测评的人员要求一般是什么

三级等保每年测评一次，二级等保两年测评一次。二级至少应具有6名以上等级测评师，其中中级测评师不少于2名；三级（含）以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师，其中中级测评师不少于4名，高级测评师不少于2名。

网络安全等级保护一共分五级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

㈡ 信息系统的信息安全等级保护的测评是必须的吗有没有专门的出台了法律法规监管细则规范了这件事

1、能不能自己测评要看你的等级保护备案时的级别，2级以上都要公安部门和上级主管部门测评的。
2、等保很多要求标准在不断修改中，建议在对自己的信息安全整改过程中，引入有资质的第三方，这样会比较容易些。 二级及以下可以自己测评，也可以不做测评。3级以上必须经过测评。

《信息安全等级保护管理办法》第十四条第一款规定： 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

㈢ 一般网络安全风险评估多久做一次

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程。国家对开展信息安全风险评估工作做出明确规定，要求对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。《网络安全法》规定，关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

㈣ 网络安全性多少年进行一次检测评估

安全性评估报告应当包括下列材料：（一）成分分析报告：包括主要成分和可能的有害成分检测结果及检测方法；（二）卫生学检验报告：批有代表性样品的污染物和微生物的检测结果及方法；（三）毒理学评价报告1.国内外均无传统食用习惯的（不包括微生物类），原则上应当进行急性经口毒性试验、三项遗传毒性试验、90天经口毒性试验、致畸试验和生殖毒性试验、慢性毒性和致癌试验及代谢试验。2.仅在国外个别国家或国内局部地区有食用习惯的（不包括微生物类），原则上进行急性经口毒性试验、三项遗传毒性试验、90天经口毒性试验、致畸试验和生殖毒性试验；若有关文献材料及成分分析未发现有毒性作用且人群长期食用历史而未发现有害作用的新食品原料，可以先评价急性经口毒性试验、三项遗传毒性试验、90天经口毒性试验和致畸试验。3.已在多个国家批准广泛使用的（不包括微生物类），在提供安全性评价材料的基础上，原则上进行急性经口毒性试验、三项遗传毒性试验、28天经口毒性试验。4.国内外均无食用习惯的微生物，应当进行急性经口毒性试验/致病性试验、三项遗传毒性试验、90天经口毒性试验、致畸试验和生殖毒性试验。仅在国外个别国家或国内局部地区有食用习惯的微生物类，应当进行急性经口毒性试验/致病性试验、三项遗传毒性试验、90天经口毒性试验；已在多个国家批准食用的微生物类，可进行急性经口毒性试验/致病性试验、二项遗传毒性试验。大型真菌的毒理学试验按照植物类新食品原料进行。5.根据新食品原料可能的潜在危害，选择必要的其他敏感试验或敏感指标进行毒理学试验，或者根据专家评审委员会的评审意见，验证或补充毒理学试验。（四）微生物耐药性试验报告和产毒能力试验报告；（五）安全性评估意见:按照危害因子识别、危害特征描述、暴露评估、危险性特征描述的原则和方法进行。其中第（二）、（三）、（四）项报告应当由我国具有食品检验资质的检验机构（CMAF）出具，进口产品第（三）、（四）项报告可由国外符合良好实验室规范（GLP）的实验室出具。第（五）项应当由有资质的风险评估技术机构出具。

㈤ 等保三级是什么等保认证有哪些标准

等保三级又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

其中按照评定等级可以分为一至五级测评。三级等保是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求，包含信息保护、安全审计、通信保密等近300项要求，共涉及测评分类73类，要求十分严格。

三级等保认证最严的地方是在技术层面，主要体现在系统安全管理和恶意代码防范上，简单的说，就是每当有黑客对平台进行攻击时，平台具备一定的防范能力。

标准如下：

十三大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）

信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）

信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

㈥ 一般的生产企业，安全评价应该多久做一次，是两年一次吗

行业不同有效期不同。现在的新要求：有的生产企业一年就要做一次版评价。危化品权使用单位3年做一次。

安全评价，国外也称为风险评价或危险评价，它是以实现工程、系统安全为目的，应用安全系统工程原理和方法，对工程、系统中存在的危险、有害因素进行辨识与分析，判断工程、系统发生事故和职业危害的可能性及其严重程度，从而为制定防范措施和管理决策提供科学依据。 安全评价既需要安全评价理论的支撑，又需要理论与实际经验的结合，二者缺一不可。安全评价方法是进行定性、定量安全评价的工具，安全评价内容十分丰富，安全评价目的和对象的不同，安全评价的内容和指标也不同。

㈦ 等级保护测评服务三级,多久做一次

三级等保现在是每年做一次测评。

等级保护备案分为五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

办理等级保护备案的流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

㈧ 计算机网络安全与防护技术相关知识

1、涉密网络保密建设和管理应遵循哪些基本原则u2/:b
根据国家有关规定，政务内网是涉密网络，是专门处理国家秘密和内部办公信息的网络。党和国家对涉密网络的保密建设和管理非常重视，制定了一系列方针政策、法律法规和标准规范。根据这些规定，涉密网络保密建设和管理应当遵循以下基本原则：$
（1）适度安全的原则。所谓“适度安全”是指与由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统（网络），任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”，即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。国家保密技术规定对绝密级信息系统的机密、秘密级信息系统应当采取的安全措施分别提出了具体要求。6x)#gt
（2）按最高密级防护的原则。涉密信息系统处理多种密级的信息时，应当按照最高密级采取防护措施。kHo
（3）最小化授权的原则。一是涉密信息系统的建设规模要最小化，非工作所必需的单位和岗位，不得建设政务内风和设有内网终端；二是涉密信息系统中涉密信息的访问权限要最小化，非工作必需知悉的人员，不得具有关涉密信息的访问权限。jie
（4）同步建设，严格把关的原则。涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程（各个环节）进行保密审查、审批、把关。N
要防止并纠正“先建设，后防护，重使用，轻安全”的倾向，建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证，有关信息系统不得处理国家秘密信息。7qR
（5）注重管理的原则。涉密信息系统的安全保密三分靠技术，七分靠管理。加强管理可以弥补技术上的不足；而放弃管理则再好的技术也不安全。要通过引进和培养计算机技术人员，使其尽快成为既懂“电子”又懂政务（党务）、还懂“保密”的复合型人才，利用行政和技术手段的综合优势，实现对涉密信息在网络环境下的有效监管。同时，实现人员和技术的有机结合——健全制度，并利用技术手段保证制度的落实。|kn
&;温农校友之家 -- 温农人自己的网上家园 g4cB
2、涉密网络保密建设的基本措施有哪些？A
根据国家保密技术规定的要求，涉密信息系统的安全保密建设必须采取以下基本措施：C+8_f^
（1）存放安全。即保证涉密信息系统的机房设备和终端存放在安全可靠的地方，做到防火、防水、防震、防爆炸和防止外来人员进行物理上的盗取和破坏等，还要防止外界电磁场对涉密信息系统各个设备的电磁干扰，保证涉密信息系统的正常运行。TTr.
涉密信息系统的中心机房建设，在条件许可的情况下，应满足国家《电子计算机机房设计规定规范》、《计算站场地技术条件》、《计算站场地安全要求》和要求。处理国家秘密信息的电磁屏蔽室的建设，必须符合国家保密标准BMB3的要求。处理秘密级、机密级信息的系统中心机房，应当彩有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房的门控系统，还应采取IC卡或生理特征进行身份鉴别，并安装电视监视系统，且配备警卫人员进行区域保护。$Zey3
（2）物理隔离。即涉密信息系统（政务内网）要与政务外网和因特网实行物理隔离。这是涉密信息系统免遭来自因特网上的黑客攻击和病毒侵扰的最有效措施。实现物理隔离，必须做到以下几点：rr=
一是一个单位的政务内网和政务外网的机房要分别建设，相互物理隔离。隔离距离要符合国家保密标准BMB5的相关规定。>Gm
二是政务内网的布线要采用光缆或屏蔽电缆；如政务内、外网同时建设，可实行双布线，政务外网的布线可以使用普通电缆或双绞线；对已建网络要改造成政务内、外网两个网络、单布线不可改变时，可以采用安装安全隔离集线器的办法，使客户端微机不能同时与内、外网相通。h
三是客户端的物理隔离可以采取以下方法解决：（A）安装双主板、双硬盘的微机（如浪潮金盾安全电脑）；（B）对原的微机进行物理隔离改造，即增中一块硬盘和一块双硬盘隔离卡（如中孚隔离卡）；（C）对客户端微机只增加一块单礓盘隔离卡等。"7
四是对单位与单位政务内网之间的信息传输，可采用以下方法解决：（A）利用各地政务内网平台提供的宽带保密通道；（B）采用单独交换设备和单独铺设线路，并安装网络加密机；（C）使用面向连接的电路交换方式（如PSTN、ISDN、ADSL等）时，应采用认证和链路加密措施。采用的加密设备必须经国家密码主管部门批准。Qq0
（3）身份鉴别。在用户进入（即使用）涉密信息系统前，系统要对用户的身份进行鉴别，以判断该用户是否为系统的合法用户。其目的是防止非法用户进入。这是系统安全控制的第一道防线。v6
身份鉴别一般采用3种方法：一是设置口令字；二是采用智能卡和口令字相结合的方式；三是用人的生物特征等强认证措施，如指纹、视网膜等。6iFF=]
口令字的设置原理是：在信息系统中存放一张“用户信息表”，它记录所有的可以使用这个系统的用户的有关信息，如用户名和口令字等。用户名是可以公开的，不同用户使用不同的用户名，但口令字是秘密的。当一个用户要使用系统时，必须键入自己的用户名和相应的口令字，系统通过查询用户信息表，验证用户输入的用户名和口令字与用户信息表中的是否一致，如果一致，该用户即是系统的合法用户，可进入系统，否则被挡在系统之外。4Z-xF
根据国家保密规定，处理秘密级信息的系统口令长度不得少于8位，且口令更换周期不得长于30天；处理机密级信息的系统，口令长度不得少于10位，且口令更换周期不得长于7天；处理绝密级信息的系统，应当采用一次性口令。口令有组成应当是大小写英文字母、数字、特殊字符中两者以上的组合，而且口令必须加密存储、加密传输，并且保证口令存放载体的物理安全。$
采用口令字进行身份鉴别，特别是成本低，实现容易，但使用管理很不方便，不宜记忆。YN
采用“智能卡+口令字”的方式进行身份鉴别，其特别是，口令字长度4位即可，便于用户使用，增加了身份鉴别的安全性和可靠性，成本较高，一般涉密信息系统的身份鉴别在多采用这种方式。3
采用人的生理特征进行身份鉴别，其特点是成本高，安全性好。国家保密规定要求，绝密级信息系统的身份鉴别应采用这种强认证方式。B
（4）访问控制。经过身份鉴别进入涉密信息系统的合法用户，需要对其访问系统资源的权限进行限制。访问控制的任务就是根据一定的原则对合法用户的访问权限进行控制，以决定他可以使用哪些系统资源，以什么样的方式使用。例如，在系统中，对于各种密级的文件，哪个用户可以查阅，哪个用户可以修改等。这是系统安全控制的第二道防线，它可以阻合法用户对其权限范围以外的资源的非法访问。设置访问控制应遵循“最小授权原则”，即在应当授权的范围内有权使用资源，非授权范围内无权使用资源。88d
访问控制可以分为自主访问控制、强制访问控制和角色控制等3种访问控制策略。:Rk03*
自主访问控制是指资源的拥有者有权决定系统中哪些用户具有该资源的访问权限，以及具有什么样的访问权限（读、改、删等）。也就是说系统中资源的访问权限，由资源的所有者决定。]^`
强制访问控制是指信息系统根据事先确定的安全策略，对用户的访问权限进行强制性控制。它首先要分别定义用户和信息资源的安全属性；用户的安全属性为“所属部门”和“可查阅等级”。用户“所属部门”是指用户分管或所在的部门。用户“可查阅等级”分为A、B、C三级（可以任意确定），其级别为A>B>C。信息资源的安全属性分为“所属部门”和“查阅等级”。信息“所属部门”是指信息产生的部门。信息“查阅等级”可分为A、B、C三级（同上），其级别为A>B>C。强制访问控制的规则是：仅当用户安全属性中的“可查阅等级”大于等于信息安全属性中的“查阅等级”且用户安全属性中的“所属部门”包含了信息安全属性中的“所属部门”时，用户才能阅读该信息；仅当用户安全属性中的“可查阅等级”小于等于信息安全属性中的“查阅等级”，且用户安全属性中的“所属部门”包含了信息安全属性中的“所属部门”时，用户才能改写该信息。*Dh
角色控制是指信息系统根据实际工作职责设置若干角色，不同用户可以具有相同角色，在系统中享有相同的权力。当工作职责变动时，可按照新的角色进行重新授权。角色控制既可以在自主访问控制中运用，也可以在强制访问控制中运用。PVD
根据国家保密规定，涉密信息系统必须采用强制访问控制策略。处理秘密级、机密级信息的涉密系统，访问应当按照用户类别、信息类别控制，处理绝密级信息的涉密系统，访问控制到单个用户、单个文件。x
（5）数据存储加密。对涉密信息系统中存放的文件和数据进行加密，使这成为密文，用在用户对其进行访问（查询、插入、修改）时，按其需要对数据实时进行加密/解密。这是系统安全控制的第三道防线。在系统的身份鉴别和访问控制这两道防线万一遭到破坏或用户绕过身份鉴别和访问控制，通过其他途径进入系统时，加密可以保护文件或数据的秘密性，并可发现数据的被修改。通俗地讲，系统的身份鉴别与访问控制的作用是“进不来”和“拿不走”，加密的作用是，即使拿走了也“看不懂”。~GOC;
采用什么样的密码体制对数据进行加密，是密码控制中的一个很关键的问题，要保证密码算法既有很强的密码强度，又对系统的运行效率不致于有太大影响。现代密码体制是将密码算法公开，而仅保持密钥的秘密性，即一切秘密寓于密钥之中。因此，必须对密钥的生成、传递、更换和保存采取严格的保护措施。bpr!
根据国家保密规定，绝密级信息系统中的数据存储应当采取加密措施。使用的加密算法应当经过国家密码主管部门的批准。";)l
（6）安全审计。审计是模拟社会检察机构在信息系统中用来监视、记录和控制用户活动的一种机制，它使影响系统安全的访问和访问企图留下线索，以便事后分析追查。主要的安全审计手段包括：设置审计开关、事件过滤、查询审计日志和违远见事件报警等。T2hiV/
审计系统应当有详细的日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）以及系统出错和配置修改等信息。应保证审计日志的保密性和完整性。)Z6r
按照国家保密规定，机密级以下的涉密信息系统应采用分布式审计系统，审计信息存放在各服务器和安全保密设备上，用于系统审计员审查，审查记录不得修改、删除，审查周期不得长于30天。绝密级信息系统应当采用集中式审计系统，能够对各级服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表，并能检测、记录侵犯系统的事件和各种违规事件，及时自动告警，系统审计员定期审查日志的不得长于7天。</<f'g
（7）防电磁泄漏。涉密信息系统中涉密设备的安装使用，应满足国家保密标准BMB2的要求。对不符合BMB2要求的，必须采取电磁泄漏的防护措施。电磁泄漏的防护技术共有3种：电磁屏蔽室、低泄射设备和电磁干扰器。`x
根据国家有关规定，对处理绝密级信息的系统机房应当建设电磁屏蔽室，处理绝密级信息的计算机要安装电磁屏蔽台，且电磁屏蔽室和电磁屏蔽台都要符合国家保密标准BMB3的要求。否则处理绝密级信息的计算机必须是符合国家公安和保密标准GGBB1的低泄射设备。P
处理秘密级、机密级信息的设备应当采取安装电磁干扰器或采用低泄射设备等防电磁泄漏措施。所使用的干扰器应满足国家保密标准BMB4的要求，即处理机密级以下（含机密级）信息的设备应当采用一级电磁干扰器；二级电磁干扰器用于保护处理内部敏感信息的设备和最小警戒距离大于等于100米处理秘密级信息的设备。#fp92'
&;温农校友之家 -- 温农人自己的网上家园 x
4、涉密网络保密管理应采取哪些基本措施？q-|Z)7
根据国家有关规定，涉密网络的保密管理应当采取以下基本措施：<
（1）明确安全保密责任，落实网络安全保密管理机构。JNe{p
要确定分管领导。该领导应当了解系统中的涉密信息及处理性质，了解保护系统所需要的管理、人事、运行和技术等方面的措施。U`j
成立网络安全保密管理机构。该机构应当由分管领导亲自负责，成员包括保密员、系统管理员、系统安全员、系统审计员和操作员代表以及保安员等。其具体职责是，制定网络安全保密策略，包括技术策略和管理策略；制定、审查、确定保密措施；组织实施安全保密措施并协调、监督、检查安全保密措施执行情况；组织开展网络信息安全保密的咨询、宣传和培训等。rY
机构领导的主要任务是：对系统修改的授权；对特权和口令的授权；冥违章报告、审计记录、报警记录；制定并组织实施安全人员培训计划，以及遇到重大问题时及时报告单位主要领导和上级等。p
保密员的主要职责是，建立健全信息保密管理制度，监督、检查网络保密管理及技术措施的落实情况，确定系统用户和信息的安全属性等。ovz]j}
系统管理员的主要职责是：负责系统及设备的安装和维护，分配和管理用户口令，落实防病毒措施，保证系统的正常运行。x
系统安全员的主要职责是，设置用户和信息的安全属性，格式化新介质，应急条件下的安全恢复，启动与停止系统等。0<!
系统审计员的主要职责是，监督系统的运行情况，定期查看审计记录，对系统资源的各种非法访问事件进行分析、处理，必要时及时上报主管领导。OkP6u]
保安员的主要职责是，负责非技术性的、常规的安全工作，如场地警卫、验证出入手续，落实规章制度等。"/4;uE
（2）制定系统安全计划。Z_f;Wi
主要包括：lc:dF
一是制定系统规章。涉密信息系统安全保密制度有：系统和设备使用的安全保密规定，涉密介质的使用管理规定，物理安全管理制度，身份鉴别管理制度，访问控制规则设置的规定，密钥与密码设备管理制度以及系统管理员、系统安全员、系统审计员、保密员和保安员的工作职责等。=aRY
二是制定培训计划。对新上岗人员进行培训，培训的内容应当包括：职业道德、系统各个岗位的新技术、操作规程和使用信息系统应当掌握的安全保密管理制度。对己在岗人员也要进行定期培训，以不断提高所有工作人员的工作能力和水平。I+%
三是加强人员管理。主要有3个方面：（A）人员审查，确保涉密信息系统每个用户的安全可靠。审查内容包括个人经历、社会关系、政治思想状况、人品和职业道德等。（B）确定岗位和职责范围。使每一位用户按照自己的岗位和职权使用信息系统。（C）考核评价。对系统用户的政治思想、业务水平、工作表现等要定期进行全面考核，并作出评价。对不适于接触涉密信息系统的人员要及时调离。对提升、调动、离岗和退休人员，要收回所有证件、钥匙、智能卡，检查是否把全部手册、文件或程序清单交回。有关人员离岗后，应更换口令和智能卡。7Pd
四是成立事故处理小组。制定应急计划和处理预案，帮助用户解决安全事故，向用户定期通报有关信息系统薄弱环东和外来威胁的情况，定期检测应急能力。gv9_TR
（3）制定评审安全措施。涉密信息系统建成后，要由涉密计算机网络测评中心对其进行安全保密性能的测评。由于信息系统的安全性将随着时间的推移而发生变化，因此在对该信息系统进行重大修改时，要重新进行测评；即使没有重大修改，至少每三年也要测评一次。&J2
（4）信息系统的授权使用。涉密信息系统的安全关系国家的安全和利益，因此，该系统必须经保密部门审批合格并书面授权，方能投入运行；如该系统做重大修改，须经保密部门重新审批、授权；至少每三年，涉密信息系统的使用要重新授权。UF@*

㈨ 网络分保几年一次

一般每年一次
《中华人民共和国网络安全法》第三十八条 规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程。国家对开展信息安全风险评估工作做出明确规定，要求对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。《网络安全法》规定，关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。