防城港市网络安全等级保护专家库

㈠ 获得公安部颁发的信息系统安全等级保护备案证明的机构名单在哪里可以查到

信息系统安全等级保护分为五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

㈡ 如何申请信息安全等级保护检测资质

申请等保测评机构的单位应该具备这些条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;

（二）产权关系明晰，注册资金 500 万元以上，独立经营核算，无违法违规记录；

（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；

（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有网络安全相关工作经历的技术和管理人员不少于 15 人，专职渗透测试人员不少于 2 人，岗位职责清晰，且人员相对稳定；

（六）具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；

（八）不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；

（九）应具备的其他条件。

初步申请通过后，申请成为等保测评机构的单位还要接受复审，主要是对测评师的要求，比如申请单位应至少有 15人获得测评师证书，其中高级测评师不少于 1 人，中级测评师不少于 5 人。对于满足申请条件，且通过复审的单位，等保办会颁发《网络安全等级保护测评机构推荐证书》。

同时，等保办会于每年 12 月份对所推荐测评机构进行年审。年审通过的，等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。年审未通过的，等保办会责令测评机构限期整改。拒不整改或整改不符合要求的，测评机构的等级测评业务会被暂停。

此外，等保测评推荐证书并不是永久性的。测评机构推荐证书有效期为三年，测评机构应在推荐证书期满前 30 日内，向等保办申请期满复审。

最后，省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中，测评机构应接受被测网络备案公安机关的监督、检查和指导。

㈢ 如何进行信息系统安全等级保护备案

信息系统安全等级保护备案办理流程：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

注释：不同地区，办理的条件及要求会有所不同。

㈣ 网络安全等级保护制度中等级检验定价决定权在谁手里

等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。网络安全等级保护制度2.0（以下简称“等保2.0”）配合着多项已经生效和/或正在制定的法律法规及国家标准实施，智慧安全港建议各企业重视相关内容的学习，加强信息保护合规系统建设，以便为即将可能开展的执法工作做好准备，本文对等保2.0的重要内容作出了梳理。

为适应新技术的发展，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

一、发布主体

国家市场监督管理总局、国家标准化管理委员会

二、相关标准

《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》

三、重要日期

等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。

四、历史沿革

2017年，《网络安全法》首次提出“网络安全等级保护制度”的概念，并明确相关具体要求。2018年，《网络安全等级保护条例（征求意见稿）》（以下简称“《等级保护条例》”）提出“国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管”。

五、重点内容

1

《等级保护条例》

关键内容：条例适用范围

在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适用《等级保护条例》，个人及家庭自建自用的网络除外。

关键内容：网络安全等级保护制度由哪个部门负责/领导？

关键内容：网络安全等级分为哪几级？

关键内容：作为网络运营者，（程序上）企业应该怎么做？

S1【网络定级】：在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，应当依法变更网络的安全保护等级。

S2【定级评审】：对拟定为第二级以上的网络，其运营者应当组织专家评审；有行业主管部门的，应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级，统一组织定级评审。行业主管部门可以依据国家标准规范，结合本行业网络特点制定行业网络安全等级保护定级指导意见。

S3【定级备案】：第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。因网络撤销或变更调整安全保护等级的，应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。

S4【备案审核】：公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的，应在10个工作日内出具网络安全等级保护备案证明。

S5【上线检测】：新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范，对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评，通过等级测评后方可投入运行。

S6【等级测评】：第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

S7【安全整改】：网络运营者应当对等级测评中发现的安全风险隐患，制定整改方案，落实整改措施，消除风险隐患。

S8【自查工作】：网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查，发现安全风险隐患及时整改，并向备案的公安机关报告。

2

《信息安全技术 网络安全等级保护基本要求》

关键内容：不同安全保护等级的等级保护对象应具备的基本安全保护能力

关键内容：安全要求的分类

3

《信息安全技术 网络安全等级保护测评要求》

关键内容：测评方法

4

《信息安全技术网络安全等级保护安全设计技术要求》

关键内容：不同等级的系统安全保护环境设计目标

六、等保2.0的实施对企业有哪些影响？

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

一级系统简单，不需要备案，影响程度很小，因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大，比如支付宝、银行总行系统、国家电网系统，有1000个左右;五级系统属国家级、国防类的系统，比如核电站、军用通信系统。

七、网络安全等级保护常见注意事项

1、等级测评并非安全认证

很多人容易把等保测评等同于安全认证。等保测评并非相当于ISO20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

等级保护测评没有相应的证书，如何才能证明信息系统已经符合等级保护安全要求了呢？目前这主要是由公安部授权委托的全国一百多家测评机构，对信息系统进行安全测评，测评通过后出具《等级保护测评报告》，拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。

2、等保制度只是基本要求

等保制度只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但就目前的测评结果来看，几乎没有任何一个被测系统能全部满足等保要求。一般情况下，目前等级保护测评过程中，只要没发现高危安全风险，都可以通过测评。但是，安全是一个动态而非静止的过程，而不是通过一次测评，就可以一劳永逸的。 企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。

3、内网系统也需要做等级测评

首先，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；《网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网系统，都需要符合等级保护安全的要求。

其次，在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击，导致了大量内网系统瘫痪，这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。

4、系统上云或者托管在其他地方就也需做等级测评

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己，所以，还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

5、不可根据自己的主观意愿来定级

目前的等级保护对象（信息系统）的安全级别分为五个等级，如果定了1级，不需要做等级测评，自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

6、系统备案场所

《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商，而是最终的用户方。

目前有些单位的注册地跟运营地不一致，正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区，运营部门在北京朝阳区，需要到北京朝阳区办理定级备案手续，当然，前提是北京朝阳区必须有正规办公地址。

有些单位的系统部署在云平台，云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样会方便属地公安对系统进行监管。

所以，大部分情况下，还是需要到系统的运维人员实际所在地进行定级备案

㈤ 网络安全等级保护级别

网络信息系统安全等级保护分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级，五级防护水平一级最低，五级最高。
网络安全等级保护级别具体介绍？
1、第一级（自主保护级），会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
2、第二级（指导保护级），会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
3、第三级（监督保护级），会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
4、第四级（强制保护级），会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
5、第五级（专控保护级），会对国家安全造成特别严重损害。
国家质量技术监督局标准规定了计算机信息系统安全保护能力的五个等级：
第一级：用户自主保护级，_第二级：系统审计保护级，第三级：安全标记保护级，第四级：结构化保护级，第五级：访问验证保护级。

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。
总结网络安全等级保护的级别划分是根据网络系统在国家安全、经济建设、社会生活中的重要程度,以及网络系统遭到破坏后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益
法律依据：《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取

㈥ 等保测评公司名单有知道的吗比较专业点的介绍一下

等保测评机构应具备有效的《网络安全等级保护测评机构推荐证书》，同时测评机构及其人员应当遵守国‏家有关法律法规，依据国‏家有关技术标准和本规范的相关规定，开展客观、公正、安全的测评服务。

举例来说国‏家等保办推荐测评机构时代新威，证书编号：DJCP2019110192。网络安全国‏家标准编制成员单位。作为全国信息安全标准化技术委员会（TC260）委员单位之一的时代新威，实际主持参与了第一个信息安全管理体系国‏家标准“GB/T19716信息安全管理实用规则”编制工作；陆续参与了“GB/T19715信息技术安全管理指南”、“GB/T22080信息安全管理体系要求”等十几项国‏家标准的编制。在等保行业里面算是具有代表性了。

㈦ 什么是网络安全等级保护啊

你好，网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

《网络安全法》 明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。下面是网络安全等级保护等级划分及适用行业说明：

第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后，会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。

最后，二级及以上的信息系统都需要进行等级测评，且等级测评并不是做一次就可以，二级系统每两年至少进行一次测评，三级系统每年至少进行一次测评，四级系统每半年至少进行一次测评。

测评周期

㈧ 等级保护测评机构名单有哪些

国‏家对等级保护测评机构要求是很严苛的，要满足至少3个方面的要求：

1、该机构要有不低于15名以上的专业测评技术人员，且该机构测评技术人员必须持有《网络安全等级保护测评师》证书

2：该机构要有固定的办公地点，且在工商局注册

3：也是最重要的一点，该机构必须持有《网络安全等级保护测评机构推荐证书》且证书国‏家承认有效，例如时代新威——等保测评机构，证书编号：DJCP2019110192。

现在做等级保护的测评机构全国211家，有一些开展业务的机构并没有等保测评资质。请大家一定要注意啦！最后的测评报告一定要测评机构盖章。大家可去网络安全等级保护网——全国网络安全等级保护测评机构推荐目录进行查看。

​

㈨ 如何进行信息系统安全等级保护备案

第一步：定级
定级的依据就是你提到的《信息系统安全等级保护定级指南》。定级的原则是“自主定级”，因为系统在遭受破坏后造成多大影响自己最清楚。确定等级后起草“定级报告”，定级报告模版网络文库里可以搜到。
第二步：准备备案材料
备案所需材料主要是《信息安全等级保护备案表》，备案表模版网络文库里可以搜到。每个系统填写一份备案表，其中二级系统只需要填写备案表的表一、表二和表三；三级系统需要填写表一、表二、表三和表四。
第三步：等级测评
二级系统不需要进行等级测评即可进行备案；三级系统需要有资质的测评机构进行测评并出具测评报告，测评报告作为备案材料之一（备案表表四中有明确说明）进行备案。
第四步：提交备案材料
将《信息安全等级保护备案表》打印一式两份盖章，连同一份电子版提交到当地地市级以上公安局网监支队（现在叫网安支队），在审批结束后会为你出具《信息安全等保保护备案证明》，备案工作结束。