系統(tǒng)安全等級保護測評流程 網絡安全等級保護測評要求

系統(tǒng)安全等級保護測評流程：

第一、定級

信息系統(tǒng)安全等級，由系統(tǒng)運用、使用單位根據(jù)《信息系統(tǒng)安全等級保護定級指南》自主確定信息系統(tǒng)的安全保護等級，有主管部門的，應當經主管部門審批。對于擬確定為四級及以上信息系統(tǒng)，還應經專家評審會評審。新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。

第二、備案

運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統(tǒng)在投入運營后30日內、已運行的二級及以上信息系統(tǒng)在等級確定30日內備案。公安機關對信息系統(tǒng)備案情況進行審核，對符合要求的在10個工作日內頒發(fā)等級保護備案證明。對于定級不準的，應當重新定級、重新備案。對于重新定級的，公安機關一般會建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。

第三、開展等級測評

運營、使用單位或者主管部門應當選擇合規(guī)測評機構，定期對信息系統(tǒng)安全等級狀況開展等級測評。三級及以上信息系統(tǒng)至少每年進行一次等級測評，四級及以上信息系統(tǒng)至少每半年進行一次等級測評，五級應當依據(jù)特殊安全需求進行等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統(tǒng)安全等級及測評結果。

第四、系統(tǒng)安全建設

運營使用單位按照管理規(guī)范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。

系統(tǒng)建設整改。對于未達到安全等級保護要求的，運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。

第五、監(jiān)督檢查

公安機關依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，如實向公安機關提供有關材料。

受理備案的公安機會對三級、四級信息系統(tǒng)進行檢查，檢查頻次同測評頻次。五級信息系統(tǒng)接受國家制定的專門部門檢查。新系統(tǒng)開發(fā)建設后，及時開展等級保護測評或相關安全測試，避免系統(tǒng)帶病上線，將安全隱患消除在萌芽狀態(tài)。

網絡安全等級保護測評要求：

安全測評通用要求是指不管等級保護對象形態(tài)如何，均需遵循的安全測評要求。安全測評擴展要求是指針對云計算安全擴展要求、大數(shù)據(jù)安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求提出的特殊安全測評要求。