论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 8 篇帖子 ] 
作者 内容
 文章标题 : 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-29 13:16 
离线
新手

注册: 2012-10-29 13:09
最近: 2015-07-15 10:36
拥有: 44.00 安全币

奖励: 0 安全币
在线: 50 点
帖子: 2
我是新人,刚刚接触等保,有几个非常基础的问题想请教一下:
1、等保的建设或整改单位有没有资质要求?我在网上查了一圈,好像是说等级保护的建设整改是没有单位资质要求的,但测评机构是有资质要求的,求确认。
2、在网上看到“有几套系统等保定了X级”这样的话,想问:是一个信息系统定一个级别,比如整个信息系统定3级,还是一个信息系统里面可以有多个级别,比如A系统2级,B系统3级,但整个信息系统按高级别的定3级?
3、听别人说的,等保有个“预测评-整改实施-测评”的流程,想问一下预测评是不是必须项?如果要做预测评,应该放在定级之后,整改实施之前吗?
暂时就想到这些基础问题,请各位大侠不吝赐教,谢谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-30 10:32 
离线
新手

注册: 2010-10-28 15:16
最近: 2016-04-27 09:42
拥有: 276.00 安全币

奖励: 1 安全币
在线: 421 点
帖子: 14
根据本人的了解回答一下吧:
第一个问题: 目前国家(主要是公安部牵头)对测评有资质的要求,对整改尚未进行资质的要求,但根据我的了解,国家正逐渐完善整改方面的工作,比如进行建设整改方面的培训和资质认证等,将来有可能会对单位进行资质要求。
第二个问题:信息系统的保护等级,是根据该系统提供的服务及信息的重要性、受破坏后的影响程度等来决定。每一个系统一个级别,不应该存在一个系统里面有多个级别。
第三个问题:等级保护有五个规定动作:定级、备案、建设整改、测评、监督检查。从等级保护的常态化工作来看应该是测评--整改---测评的一个反复循环,即通过测评来查找系统存在的问题和差距,然后对系统进行建设整改,系统整改完成后、系统发生变化时、或者正常运维阶段仍然要进行等级测评。三级以上系统至少每年要进行一次测评,二级系统至少每两年进行一次测评。公安部门每年都会进行监督检查。
不知道是否回答了你的问题。不正确的地方也欢迎大家批评指正!


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-30 15:41 
离线
初级用户

注册: 2007-07-12 14:06
最近: 2014-09-28 10:33
拥有: 488.40 安全币

奖励: 0 安全币
在线: 1076 点
帖子: 58
ywbcff 写道:
根据本人的了解回答一下吧:
第一个问题: 目前国家(主要是公安部牵头)对测评有资质的要求,对整改尚未进行资质的要求,但根据我的了解,国家正逐渐完善整改方面的工作,比如进行建设整改方面的培训和资质认证等,将来有可能会对单位进行资质要求。
第二个问题:信息系统的保护等级,是根据该系统提供的服务及信息的重要性、受破坏后的影响程度等来决定。每一个系统一个级别,不应该存在一个系统里面有多个级别。
第三个问题:等级保护有五个规定动作:定级、备案、建设整改、测评、监督检查。从等级保护的常态化工作来看应该是测评--整改---测评的一个反复循环,即通过测评来查找系统存在的问题和差距,然后对系统进行建设整改,系统整改完成后、系统发生变化时、或者正常运维阶段仍然要进行等级测评。三级以上系统至少每年要进行一次测评,二级系统至少每两年进行一次测评。公安部门每年都会进行监督检查。
不知道是否回答了你的问题。不正确的地方也欢迎大家批评指正!

我想请问一下,二级系统至少每两年进行一次测评,是文件中明确了嘛?那个文件呢?可以查阅到嘛?谢谢


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-30 20:59 
离线
新手

注册: 2010-10-28 15:16
最近: 2016-04-27 09:42
拥有: 276.00 安全币

奖励: 1 安全币
在线: 421 点
帖子: 14
不好意思,上次回复有些地方不太准确:二级系统没有强制要求每两年进行一次测评!
你可以看看《信息安全等级保护管理办法》(公通字[2007]43号),该文件为等级保护的政策性文件,具有权威性。
http://www.mps.gov.cn/n16/n1282/n3493/n ... 94907.html


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-30 21:48 
离线
初级用户

关注按钮

注册: 2012-03-07 20:38
最近: 2013-07-06 09:59
拥有: 1,587.00 安全币

奖励: 9 安全币
在线: 3464 点
帖子: 35
ywbcff 写道:
根据本人的了解回答一下吧:
第一个问题: 目前国家(主要是公安部牵头)对测评有资质的要求,对整改尚未进行资质的要求,但根据我的了解,国家正逐渐完善整改方面的工作,比如进行建设整改方面的培训和资质认证等,将来有可能会对单位进行资质要求。
第二个问题:信息系统的保护等级,是根据该系统提供的服务及信息的重要性、受破坏后的影响程度等来决定。每一个系统一个级别,不应该存在一个系统里面有多个级别。
第三个问题:等级保护有五个规定动作:定级、备案、建设整改、测评、监督检查。从等级保护的常态化工作来看应该是测评--整改---测评的一个反复循环,即通过测评来查找系统存在的问题和差距,然后对系统进行建设整改,系统整改完成后、系统发生变化时、或者正常运维阶段仍然要进行等级测评。三级以上系统至少每年要进行一次测评,二级系统至少每两年进行一次测评。公安部门每年都会进行监督检查。
不知道是否回答了你的问题。不正确的地方也欢迎大家批评指正!


作为定级对象的信息系统具有3个特征:
1、具有唯一确定的安全责任单位
2、具有信息系统的基本要素
3、承载单一或相对独立的业务应用
那么刚刚你说的第二点,如果你的信息系统只承载一项业务,那可以直接定级,但是如果承载多想的话,那就应该划分业务子系统了,再分别为各子系统定级,这个信息系统的保护等级是由各子系统的最高等级来决定。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-31 10:30 
离线
新手

注册: 2012-10-29 13:09
最近: 2015-07-15 10:36
拥有: 44.00 安全币

奖励: 0 安全币
在线: 50 点
帖子: 2
感谢楼上各位的解答。
这段时间我也在学习等保的相关知识,就我上面提出的问题,我自己的回答是:
1、建设整改单位确实没有特别的资质要求,测评单位有资质要求,测评单位目录见附件1《全国等级保护测评机构推荐目录》;
2、定级的话,如果有多个系统,是可以给多个系统定级的,但信息系统等级由最高级别确定,出具定级报告;
3、等保工作的流程是定级-备案-建设整改-测评-监督检查。

这样的话,我就产生一个新问题:关于备案的。备案到底何时进行?
从我看到的各种培训文档上,都说先定级,后备案
但是在《备案表》中有这么一句话:在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交备案。
我想问备案到底在何时进行?是建设整改前,还是测评后?
我认为是在测评后,因为申请备案需要提交的材料中有测评报告。
欢迎交流,大家一起学习,一起提高!

ps:附件我是免费供大家下载的,但不知为什么有10个安全币的限制?我不会搞,不知道是不是论坛搞的?
如果有要文档的,可以去百度下载。


附件:
文件注释: 全国等级保护测评机构推荐目录
全国等级保护测评机构推荐目录.doc [1.05 MiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得36安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-31 20:35 
离线
新手

注册: 2010-10-28 15:16
最近: 2016-04-27 09:42
拥有: 276.00 安全币

奖励: 1 安全币
在线: 421 点
帖子: 14
huaqiaocheng 写道:
ywbcff 写道:
根据本人的了解回答一下吧:
第一个问题: 目前国家(主要是公安部牵头)对测评有资质的要求,对整改尚未进行资质的要求,但根据我的了解,国家正逐渐完善整改方面的工作,比如进行建设整改方面的培训和资质认证等,将来有可能会对单位进行资质要求。
第二个问题:信息系统的保护等级,是根据该系统提供的服务及信息的重要性、受破坏后的影响程度等来决定。每一个系统一个级别,不应该存在一个系统里面有多个级别。
第三个问题:等级保护有五个规定动作:定级、备案、建设整改、测评、监督检查。从等级保护的常态化工作来看应该是测评--整改---测评的一个反复循环,即通过测评来查找系统存在的问题和差距,然后对系统进行建设整改,系统整改完成后、系统发生变化时、或者正常运维阶段仍然要进行等级测评。三级以上系统至少每年要进行一次测评,二级系统至少每两年进行一次测评。公安部门每年都会进行监督检查。
不知道是否回答了你的问题。不正确的地方也欢迎大家批评指正!


作为定级对象的信息系统具有3个特征:
1、具有唯一确定的安全责任单位
2、具有信息系统的基本要素
3、承载单一或相对独立的业务应用
那么刚刚你说的第二点,如果你的信息系统只承载一项业务,那可以直接定级,但是如果承载多想的话,那就应该划分业务子系统了,再分别为各子系统定级,这个信息系统的保护等级是由各子系统的最高等级来决定。


----------------
你这里又提到了系统定级的问题。对于庞大、复杂的或者跨单位跨地域的系统可以对系统进行划分,把系统划分为多个系统进行定级,划分后的系统可以定为不同的等级。当然,如何把系统合理的划分为多个小系统,是非常复杂的。系统划分时可以根据系统的管理责任单位、系统的物理边界、系统的业务应用等因素进行。

对于系统备案的时机,个人认为:对于新建系统,在系统规划设计阶段就需要定级,定级完成后就应该到公安部门备案;对于已投入运行的系统,应该及早定级,定级完成后就应该到公安部门备案。对于系统的测评工作应该贯穿于系统生命周期的各个阶段,用于对系统现状进行分析,查找差距,便于整改。这里所说的测评可以是建设单位的自测评,也可以是运维单位的自测评,也可以是具有资质单位的等级测评。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 新人求教:等级保护的几个基础性问题
帖子发表于 : 2012-10-31 20:38 
离线
新手

注册: 2010-10-28 15:16
最近: 2016-04-27 09:42
拥有: 276.00 安全币

奖励: 1 安全币
在线: 421 点
帖子: 14
给大家推荐一个网站 http://www.djbh.net/webdev/web/HomeWebAction.do?p=init
这是公安部的“中国信息安全等级保护网”,这里可查查询到等级保护的各种资料。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 8 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012