《宁夏信息安全等级保护测评活动管理规范》解读
原标题:重磅!《宁夏信息安全等级保护测评活动管理规范》解读最全帖!
目录
一、网络运营单位须知
(一)测什么?
1.一般要求
2.特殊要求
(二)选谁测?
1.具备省级等保办颁发的推荐证书
2.进入宁夏等保办公布的测评机构目录
3.人员资质
4.过硬的技术能力
(三)查什么?
1.核对测评单位资质,4个文件不能少
2.权责明确,要签3个协议
3.测评机构人员的要求,三级至少7人,二级至少5人
4.风险提前告知,妥善应对
(四)怎么测?
(五)交什么?
1.提交测评报告
2.提交整改报告
3.提交评价表
二、测评机构须知
(一)在宁测评,你该有什么能力?
1.具备省级等保办颁发的推荐证书
2.具备的人员资质
3.具备过硬的技术能力
4.具备完善的管理体系
(二)在宁测评,你要做什么工作
1.按要求实施
2.具备相关资质文件
3.权责明确(要签3份文件)
4.充足的测评人员(三级7人,二级5人)
5.风险预告知
6.变更时报备
7.规范测评阶段,确保测评质量
8.测评报告法人要审批
9.向备案公安机关的两次报备
10.电力行业的报备
(三)在宁工作,交给区等保办的材料不能少
1.季度、年度报送文件
2.年度检查
3.异地测评机构备案
4.异地项目合同签订前要备案
5.召开会议
(四)违规的后果,你承担不起
1.测评机构以下雷区勿踩
2.测评师以下红线勿蹭
3.异地测评机构更要谨慎
导读:
随着《中华人民共和国网络安全法》的出台实施,网络安全等级保护工作上升为国家基础法律强制性要求。为进一步规范测评活动,提升测评质量,宁夏网络安全等级保护工作领导小组办公室出台《宁夏信息安全等级保护测评活动管理规范》(以下简称《规范》),《规范》相较试行版发生了许多调整,进一步明晰了网络运营单位和测评机构的工作要求、管理规范和处置机制。小编今天和大家分享最权威解读。
一、网络运营单位须知
(一)测什么?
1.一般要求。信息系统运营使用单位要一个选择符合条件的等级保护测评机构,依法定期对信息系统开展等级测评。第三级(含)以上信息系统每年至少进行一次等级保护测评。重要部门涉及生产、调度、管理的第二级信息系统,应当至少每两年开展一次等级保护测评。【《规范》第十三条】
2.特殊要求。电力行业:电力行业生产、调度、监控系统的等级保护测评活动需同时在国网宁夏电力公司书面报备。【《规范》第二十二条第三款】
电子政务工程:电子政务工程建设项目在建设完成后,建设单位应当在信息系统试运行期间开展等级测评,测评合格后方可投入使用。
建设单位提出工程建设项目验收申请时应当向原审批部门提交信息系统安全保护等级备案证明、安全等级测评报告和风险评估报告。【《规范》第二十四条】
(二)选谁测?
1.具备省级等保办颁发的推荐证书。等级保护测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。【《规范》第六条】
2.进入宁夏等保办公布的测评机构目录。来宁异地等级保护测评机构应当在每年12月1日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章)。自治区等保办出具意见并向全区公布名单。原则上未列入公布名单的,第二年不得在宁开展等级保护测评活动。【《规范》第二十七条】
3.人员资质。等级保护测评机构至少应当具有10名以上初级、中级和高级等级测评师,其中高、中级等级测评师占40%。等级测评师上岗前,等级保护测评机构应当组织岗前培训。培训合格的,由等级保护测评机构配发上岗证。【《规范》第七条】
4.过硬的技术能力。等级保护测评机构应当配备满足等级保护测评工作需要的测评设备和工具,包括3大类9种工具:
安全问题发现类(网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);
安全问题分析与定位类工具(网络协议分析、源代码安全审计);
安全问题验证类工具(渗透测试和性能压力测试)。
所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。【《规范》第八条】
(三)查什么?
1.核对测评单位资质,4个文件不能少。被测评单位应当核对测评机构的《信息安全等级保护测评机构推荐证书》(副本)、《信息安全等级测评师证书》、《信息安全等级保护测评机构登记表》、《信息安全等级保护测评机构年度检查表》等资质文件。【《规范》第十五条】
2.权责明确,要签3个协议。被测评单位应当与等级保护测评机构签订测评项目合同、保密协议、现场测评授权书。【《规范》第十六条】
3.测评机构人员的要求,三级至少7人,二级至少5人。第三级(含)以上信息系统测评项目应当至少由7名测评师参与,其中1名高级等级测评师,1名中级等级测评师、3名初级技术类测评师、2名初级管理类测评师。第二级信息系统测评项目应当至少由5名测评师参与,其中1名中级等级测评师、3名初级技术类测评师、1名初级管理类测评师。【《规范》第十七条】
4.风险提前告知,妥善应对。等级保护测评机构要事先告知被测评单位测评活动可能给被测评系统带来的影响,协助其采取相应的预防措施,防范测评风险。【《规范》第十八条】
(四)怎么测?
测评步骤。信息系统安全等级保护测评活动包括测评准备、方案编制、现场测评、报告编制四个基本阶段。
1.测评准备阶段:测评机构通过调查访问,了解被测评单位的基本情况,以及整个信息系统的构成和保护情况,准备测试工具。
2.方案编制阶段:测评机构整理测评准备活动中获取的信息系统相关资料,根据《信息系统安全等级保护测评要求》(GB 28448-2012)、《信息系统安全等级保护测评过程指南》(GB 28449-2012)等国家标准及有关行业标准确定测评对象、测评指标及测评内容,形成测评方案和测评指导书,为现场测评活动提供指导。
3.现场测评阶段:测评机构按照测评指导书实施等级测评,并规范、准确、完整记录测评数据。现场测评主要包括单元测评和整体测评两部分。每个单元测评包括测评指标、测评实施和结果判定三个部分。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。现场测评一般包括访谈、检查和测试三种测评方式。
4.报告编制阶段:等级保护测评机构在对现场测评获得的测评结果进行汇总、风险分析和评价的基础上,找出信息系统保护现状与等级保护基本要求之间的差距,形成等级保护测评结论,提出整改建议,并编制测评报告。【《规范》第十九条】
(五)交什么?
1.提交测评报告。等级保护测评项目完成后,被测评单位在30日内向受理信息系统备案的公安机关提交测评报告。【《规范》第二十条第一款】
2.提交整改报告。在完成整改后30日内,将整改方案和工作情况报送受理信息系统备案的公安机关。【《规范》第二十一条】
3.提交评价表。被测单位要填写《信息安全等级保护测评服务情况评价表》,随测评报告一并反馈受理信息系统备案的公安机关。【《规范》第二十二条第二款】
二、测评机构须知
(一)在宁测评,你该有什么能力?
1.具备省级等保办颁发的推荐证书。等级保护测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。【《规范》第六条】
2.具备的人员资质。等级保护测评机构至少应当具有10名以上初级、中级和高级等级测评师,其中高、中级等级测评师占40%。等级测评师上岗前,等级保护测评机构应当组织岗前培训。培训合格的,由等级保护测评机构配发上岗证。【《规范》第七条】
3.具备过硬的技术能力。等级保护测评机构应当配备满足等级保护测评工作需要的测评设备和工具,包括3大类9种工具:
安全问题发现类(网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);
安全问题分析与定位类工具(网络协议分析、源代码安全审计);
安全问题验证类工具(渗透测试和性能压力测试)。
所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。【《规范》第八条】
4.具备完善的管理体系。等级保护测评机构应当制定保密管理、项目管理、质量管理、人员管理、培训教育等内容的制度管理体系,保证日常管理和等级测评活动的顺利进行。【《规范》第九条】
(二)在宁测评,你要做什么工作
1.按要求实施。异地测评机构在宁测评活动,要按照本规范要求和《信息安全等级保护测评机构异地备案实施细则》具体实施。【《规范》第十一条】
2.具备相关资质文件。被测评单位应当依据《规范》第六条、第七条、第八条、第二十七条的规定,在测评项目招投标、商谈时要对等级保护测评机构具备的条件进行查验,并核对《信息安全等级保护测评机构推荐证书》(副本)、《信息安全等级测评师证书》、《信息安全等级保护测评机构登记表》、《信息安全等级保护测评机构年度检查表》等资质文件。【《规范》第十五条】
3.权责明确(要签3份文件)。被测评单位应当与等级保护测评机构签订测评项目合同、保密协议、现场测评授权书,以规范测评活动。【《规范》第十六条】
4.充足的测评人员(三级7人,二级5人)。等级保护测评项目启动后,等级保护测评机构必须保证足够的现场等级测评师,投入满足等级保护测评需要的检测设备和工具。
第三级(含)以上信息系统测评项目应当至少由7名测评师参与,其中1名高级等级测评师,1名中级等级测评师、3名初级技术类测评师、2名初级管理类测评师。第二级信息系统测评项目应当至少由5名测评师参与,其中1名中级等级测评师、3名初级技术类测评师、1名初级管理类测评师。【《规范》第十七条】
5.风险预告知。等级保护测评机构要充分估计测评活动可能给被测评系统带来的影响,并事先告知被测评单位,协助其采取相应的预防措施,防范测评风险。【《规范》第十八条】
6.变更时报备。等级保护测评机构的名称、地址、性质、法人、股权结构、经营范围、主要负责人、等级保护测评师等重要事项发生变更的,应当在15日内书面报告。【《规范》第十条】
7.规范测评阶段,确保测评质量。信息系统安全等级保护测评活动包括测评准备、方案编制、现场测评、报告编制四个基本阶段。
测评准备阶段:测评机构通过调查访问,了解被测评单位的基本情况,以及整个信息系统的构成和保护情况,准备测试工具。
方案编制阶段:测评机构整理测评准备活动中获取的信息系统相关资料,根据《信息系统安全等级保护测评要求》(GB 28448-2012)、《信息系统安全等级保护测评过程指南》(GB 28449-2012)等国家标准及行业标准确定测评对象、测评指标及测评内容,形成测评方案和测评指导书,为现场测评活动提供指导。
现场测评阶段:测评机构按照测评指导书实施等级测评,并规范、准确、完整记录测评数据。现场测评主要包括单元测评和整体测评两部分。每个单元测评包括测评指标、测评实施和结果判定三个部分。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。现场测评一般包括访谈、检查和测试三种测评方式。
报告编制阶段:等级保护测评机构在对现场测评获得的测评结果进行汇总、风险分析和评价的基础上,找出信息系统保护现状与等级保护基本要求之间的差距,形成等级保护测评结论,提出整改建议,并编制测评报告。【《规范》第十九条】
8.测评报告法人要审批。测评报告由等级保护测评机构按照公安部《信息系统安全等级测评报告模版(试行)》规定的格式编制,由测评项目负责人(中级测评师以上)作为第一编制人,技术主管(高级测评师)负责审核,机构法人或其授权人员签发或批准。等级保护测评报告加盖等级保护测评机构能力合格专用标识。【《规范》第二十条第二款】
9.向备案公安机关的两次报备。等级保护测评机构在测评项目合同签订及项目完成后5日内,分别向受理信息系统备案的公安机关书面报告有关情况。
10.电力行业的报备。电力行业生产、调度、监控系统的等级保护测评活动需同时在国网宁夏电力公司书面报备。【《规范》第二十二条第一、三款】
(三)在宁工作,交给区等保办的材料不能少
1.季度、年度报送文件。等级保护测评机构每季度向自治区等保办报送测评工作开展情况,由自治区等保办组织每年底编制本地网络安全保护状况分析报告。【《规范》第二十三条】
2.年度检查。等级保护测评机构年度检查时间为每年12月1日至31日。等级保护测评机构向自治区等保办提交以下材料:
(一)信息安全等级保护测评机构年度检查表;
(二)信息安全等级保护测评机构推荐证书副本;
(三)年度等级保护测评工作总结;
(四)其他所需材料。
自治区等保办进行项目回访、书面审核和现场检查,并依据国家等保办颁布的《信息安全等级保护测评机构评优标准》从等级保护测评机构的测评技术能力、测评管理规范化、工具配备、测评师数量、系统测评数量等方面进行量化打分。【《规范》第二十六条】
3.异地测评机构备案。来宁异地等级保护测评机构应当在每年12月1日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章)。自治区等保办出具意见并向全区公布名单。原则上未列入公布名单的,第二年不得在宁开展等级保护测评活动。【《规范》第二十七条】
4.异地项目合同签订前要备案。等级测评机构办理备案手续,应于异地信息系统等级测评项目合同签订之前完成。办理时,测评机构应首先到中国信息安全等级保护网站下载《等级测评机构异地测评项目备案表》,准备好备案相关文件。【《信息安全等级保护测评机构异地备案实施细则》第三条】
5.不定期参加会议。等级保护测评机构每季度召开联席工作会议,本地测评机构和进入公布名单的异地测评机构参会。【《规范》第二十八条】
(四)违规的后果,你承担不起
1.测评机构以下雷区勿踩
等级保护测评机构有下列情形之一的,由自治区等保办责令其限期改正;情形严重的,予以通报。
(1)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(2)未按照有关标准规范开展等级保护测评、未按规定出具等级保护测评报告或格式不符合要求的;
(3)非授权占有、使用、未妥善保管等级保护测评相关资料及数据文件的;
(4)分包或转包等级保护测评项目、恶意竞争,扰乱测评市场秩序的;
(5)限定被测评单位购买、使用指定信息安全产品的;
(6)承担信息系统安全建设整改工作的;
(7)测评人员未取得等级保护测评师证书和上岗证从事等级保护测评活动的;等级保护测评师人员变动,少于10人的;
(8)未按规定向自治区等保办和受理信息系统备案的公安机关提交材料、报告情况或情况不实的;
(9)其他违反等级保护测评有关规定的行为。【《规范》第三十一条】
2.测评师以下红线勿蹭
等级保护测评师有下列情形之一的,由自治区等保办责令等级保护测评机构督促其限期改正,暂停参与等级保护测评工作;情节严重的,注销其等级保护测评师证书,并对其所在等级保护测评机构进行通报。
未经允许擅自使用或泄露、出售等级保护测评活动中收集的数据信息、资料或信息系统安全保护等级测评报告的;
有涂改、出借、出租和转让等级保护测评师证书和上岗证行为的;【《规范》第二十九条】
3.异地测评机构更要谨慎
异地等级保护测评机构违反本《规范》第二十九条、三十条、三十一条相关规定的,自治区等保办将取消报备资格,纳入测评活动“黑名单”,不得在宁夏开展等级保护测评活动。【《规范》第三十二条】