等保2.0 测评 二级系统和三级系统多长时间测评一次?

  • A+
所属分类:安全闲碎

请点击上面 等保2.0 测评  二级系统和三级系统多长时间测评一次? 一键关注!

等保2.0 测评  二级系统和三级系统多长时间测评一次?


等级保护测评二级和三级信息系统多长时间测评一次?

    网络安全等级保护2.0测评,大家都知道信息系统三级每年测评一次,那么二级信息系统多长时间测评一次呢?

很多人对这块知识点很模糊,包括现有的部分测评机构,很多测评机构销售在跟客户交流的时候,都会说三级系统每年测评一次,二级系统两年测评一次,客户就更不清楚这一块知识点了,其实很多销售也模模糊糊,其实二级信息系统公安部没有明确必须要做等级保护测评,根据标准公安部只规定二级信息系统已运营(运行)和新建第二级以上信息系统在地设区的市级以上公安机关办理备案手续。

 

 《信息安全等级保护管理办法》公通字[2007]43号

等保2.0 测评  二级系统和三级系统多长时间测评一次?

等保2.0 测评  二级系统和三级系统多长时间测评一次?

具体相关要求:

第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。 

经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。 

第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 

新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。


关于网络安全等级保护测评漏扫和渗透相关规定

根据《信息安全技术信息系统安全等级保护测评过程指南 》7.2.2.4 工具测试 相关规定:

输入:测评指导书,技术安全测评的网络、主机、应用测评结果记录表格。任务描述: 

a) 根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

b) 备份测试结果。

下面列出对不同等级信息系统在测评实施时的不同强度要求

一级:满足GB/T22239-2008中的一级要求。

二级:满足GB/T22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。

三级:满足GB/T22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

四级:满足GB/T22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。输出/产品:技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件。

个人总结:

    二级信息系统在等级保护测评过程中至少有一次漏扫,并出具相应的漏扫报告,报告中不能有高危漏洞;

   三级信息系统在等级保护测评过程中至少有一次漏扫和渗透测试,并出具相应的漏扫报告和渗透测试报告,报告中皆不能有高危漏洞;

   在测评过程中若客户不想做漏扫和渗透测试,客户需要写一份声明,声明内容中药明确客户放弃本次漏扫和渗透测评,有问题自己负责等条款。

等保2.0 测评  二级系统和三级系统多长时间测评一次?

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

等保2.0 测评  二级系统和三级系统多长时间测评一次?

朋友都在看

▶️公安部 马力 | 网络安全等级保护2.0主要标准介绍

▶️公安部 任卫红| 等保2.0标准框架及基本要求标准对比介绍

▶️等保2.0-新形势下如何建设等级保护

▶️干货 | 等保2.0新标准介绍

▶️优化版 | 网络安全常用标准汇总(可打包下载)

▶️全国等保测评师俱乐部微信群

天億网络安全

【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】

等保2.0 测评  二级系统和三级系统多长时间测评一次?

↑↑↑长按图片识别二维码关註↑↑↑


欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

本文始发于微信公众号(天億网络安全):等保2.0 测评 二级系统和三级系统多长时间测评一次?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: