等级保护测评备案业务中十个常见问题解答

等级保护测评备案业务中十个常见问题解答

一、等级保护是什么?

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

二、等级保护工作具体步骤流程是什么?

根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：一是信息系统定级，二是信息系统备案，三是系统安全建设，四是信息系统等级测评，五是主管单位定期开展监督检查。

三、开展等级保护工作的相关法律法规或文件有什么要求?

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确要求我国信息安全保障工作实行等级保护制度;《信息安全等级保护管理办法》的通知（公通字[2007]43号）具体部署了实施信息安全等级保护工作的操作办法;《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）加快推动了等级保护工作的发展；《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。

四、等级保护分为几个等级?

分为五个等级，分别为第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）、第五级（专控保护级）。系统的重要程度从1-5级逐级升高。

我们在日常工作中需要进行等级保护测评的系统是2-4级，经常遇到的是二级和三级信息系统，一级系统要求比较低，不需要进行测评，如果某个系统达到五级系统，那么这个系统很可能就已经涉密了，就不是等级保护范畴了，所以在技术要求里也没有五级的相关标准要求。

五、去哪里进行信息系统的定级备案工作?

全国绝大部分地方规定：各地级市的单位将定级资料交给各自地级市的网安支队，省级单位将资料交给省公安网安总队，特定行业有要求的另说，也有部分地方是先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。

六、什么是等级保护测评?

等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程，测评结束后出具相应的信息系统测评报告。

七、信息系统的测评多久需要测一次?

四级信息系统要求每半年至少开展一次测评；三级信息系统要求每年至少开展一次测评；二级信息系统一般每两年开展一次测评，时间上没有强制要求，部分行业有行业标准要求，如电力行业明确二级系统两年做一次测评。

八、用户单位需要开展等级保护测评，找谁去做?

找在当地有资格的测评公司去做测评，该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》，同时要求在测评机构在省公安厅网安总队备案成功；另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案，备案成功后方可在当地开展等级保护测评工作。

九、等级保护测评后的最终结论分为哪几种?

测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分。

十、测评结束后有什么书面性的材料证明自己开展过等保工作?

书面性材料里有：一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明；另一个就是测评报告，加盖过测评机构公章及测评专用章。