等保测评定级依据
等保测评工作流程及内容介绍
| 工作阶段 | 工作内容 | 备注 | 交付物 |
|---|---|---|---|
| 系统调研 | 认证系统详细信息 认证系统网络拓扑图 网络和安全设备详细配置信息 | 《信息系统调研表》 《信息系统网络拓扑图》 |
|
| 定级备案 | 摸底调查 确定定级对象 初步确定信息系统等级 信息系统等级评审 信息系统等级的最终确定与审批 | 《备案表》正常审核周期是10-15个工作日,取到备案证明之后,把备案证明编号填入《备案表》送至网安大队存档。 需向网安大队提交一下材料:(纸质版) 1.《定级报告》 2.《备案表》 3.《专家评审意见表》 4.系统拓扑图 5.系统安全组织机构 6.系统安全风险管理制度 7.系统安全保护设施设计方案或改建实施方案 8.安全产品清单 9.网络和安全设备清单、配置参数,厂家销售许可证书,设备合格证书 | 《信息系统安全等级保护定级报告》 《信息系统安全等级保护系统定级备案表 |
| 专家评审 | 确定系统认证等级 确定系统的重要性 专家评审团对系统的建议并签字 | 甲方需要准备1500元专家测评费 | 《专家评审意见表》 |
| 渗透测试 | 确定渗透测试范围 渗透测试重点测试范围 其他特殊要求 客户漏洞修复 系统漏洞渗透测试复测 | 需出具渗透测试授权书 | 《渗透测试报告》 《漏洞跟踪表》 《渗透测试复测报告》 |
| 差距分析 | 确定差距分析范围 确定差距分析对象 确定差距分析工作的方法 形成差距分析指标 准备工具 制定方案 测试结果整理和分析 单项测试结论形成 整体防护能力分析 等级测评结论形成 改进建议分析 完成差距分析报告 报告评审和修改 | 差距分析分值计算: 高风险0,中风险1-3,低风险3-4,符合是5分,不适用不计分,还有等保测评报告里面是不允许有高风险存在的,有高风险直接默认最终得分60分以下,测评不达标; | 《信息系统等级测评现场记录》 《信息系统等级保护差距分析报告》 1. 《信息安全等级保护总体方案或策略》 2.《安全管理岗位和人员安全管理制度》 3.《网络与信息安全安全体系管理制度》 4.《信息安全工作规划或实施方案》 5. 《机房安全管理制度》 6.《网络安全管理制度》 7.《系统运行维护管理制度》 8.《系统安全风险管理制度》 9.《信息安全建设规划、信息系统安全整改方案》 10.《数据及信息安全管理制度》 11.《数据安全管理制度》 12.《用户管理》 13. 《备份与恢复》 14.《安全审计管理制度》 15.《信息安全产品采购、使用管理制度》 16.《安全事件报告和处置管理制度》 17.《信息安全知识和技能培训》 18.《网络拓扑图》 19.《安全方案设计》 20.《软件开发安全管理制度》 21.《工程实施方案》 22.《应急预案管理制度》 23.《配置变更管理制度》 24.《资产和设备管理制度》 |
| 差距分析整改方案 | 差距分析数据分析 管理体系整改设计 技术体系整改设计 方案编制 | 《信息系统差距分析整改报告》 | |
| 等级测评 | 测评方案确认 管理访谈及检查 技术访谈及检查 人工配置检查 工具测试检查 层间测评 整体测评 数据汇总分析 等级测评报告编制 | 《信息系统等级保护测评报告》 | |
| 测评报告审核 | 测评中心审核测评报告并盖章 | 测评报告审核通过后,有四份盖章的测评报告,其中两份客户存档,一份网安大队存档,一份测评中心存档。 | 盖章后的《信息系统等级保护测评报告》 |
