网络安全等级保护：等级保护测评过程要求PPT

本PPT是根据《信息安全技术 网络安全等级保护测评过程指南》整理而成，是网络安全等级初级测评师需要熟悉了解的内容，而中级、高级测评师必须熟练掌握内容，测评过程指南原则上是项目管理知识在等级保护测评中的一个裁剪和应用，对于测评的项目经理来说具有非常好的参考价值。

为了更好地理解测评过程，我们后面将附测评过程指南大纲，当然该大纲也是整理自《信息安全技术 网络安全等级保护测评过程指南》，供大家参考学习，不足之处还请方家指正！

测评过程活动	任务	测评机构职责	测评委托单位职责
测评准备活动	工作启动	1.组建等级测评项目组； 2.指出测评委托单位应该提供的基本资料 3.准备被测单位基本情况调查表格，并提交给测评委托单位； 4.向测评委托单位介绍安全测评工作的流程和方法； 5.向测评委托单位介绍安全测评工作可能带来的风险和规避方法； 6.了解被测单位的信息化建设和被测对象的基本情况； 7.初步分析测评对象的安全状况； 8.准备测评工具和文档。	1.向测评机构介绍本单位的信息化建设及发展情况； 2.提供测评机构需要的基本资料； 3.为测评人员信息收集工作做好支持和协调工作； 4.准备填写调查表格； 5.根据被测对象的具体情况，比如业务高峰期的时间，网络布置的情况，为测评的时间提供适宜的建议； 6.制定应急的预案。
	信息收集和分析
	工具和表单准备
方案编制活动	测评对象确定	1.详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等； 2.初步判断定级对象的安全薄弱点； 3.分析确定测评对象、测评指标、测评内容和工具测试方法； 4.编制测评方案文本，并评审； 5.制定风险规避实施方案。	1.为测评机构完成测评方案提供信息和资料； 2.评审和确认测评实施方案文本； 3.评审和确认测评机构提供的风险规避实施方案。 4.若不在生产环境开展测评，则配置和生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为测试环境。
	测评指标确定
	测评内容确定
	工具测评方法确定
	测评指导书开发
	测评方案编制
现场测评活动	现场测评准备	1.测评人员开展测评工作前确认被测等级对象具备测评工作开展的条件，测评对象工作正常；    2.测评人员利用访谈、文档审查、配置核查、工具测试和实地查看的方法开展现场测评工作，并获取相关证据。	1.测评前备份系统和数据，并了解测评工作的基本情况；    2.协助测评机构获取现场测评授权；    3.安全人员配合测评工作开展；    4.对风险告知书签名确认；    5.配合人员如实回答测评人员的问询，对某些需要上机确认的内容上机进行操作；    6.配合人员协助测评人员实施工具测试并提出有效的建议，降低安全测评对系统运行的影响；    7.配合人员协助测评人员完成业务相关内容的问询、验证和测试。    8.配合人员对测评证据和证据源进行确认；    9.配合人员确认被测设备状态完好。
	现场测评和结果记录
	结果确认和资料归还
报告编制活动	单项测评结果判定	1.分析并判定单项测评结果和整体测评结果；    2.分析评价被测定级对象存在的安全情况；    3.根据测评结果形成等级测评结论；    4.编制等级测评报告，说明系统存在的安全风险和隐患，并给出安全建议；    5.评审等级测评报告，并将评审过的等级测评报告安装分发范围进行分发；    6.将生产的过程文档归档保存，并将测评过程中在测评用介质和测评工具中生产或存放的所有电子文档清除。	1.签收测评报告；    2.向分管公安机关备案测评报告。
	单元测评结果判定
	整体测评
	安全问题风险分析
	等级测评结论形成
	测评报告编制

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 网络安全等级保护：等级保护测评过程及各方责任
4. 网络安全等级保护：政务计算机终端核心配置规范思维导图
5. 网络安全等级保护：什么是等级保护？
   
6. 网络安全等级保护：信息技术服务过程一般要求
7. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
8. 闲话等级保护：什么是网络安全等级保护工作的内涵？
9. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
10. 闲话等级保护：测评师能力要求思维导图
    
11. 闲话等级保护：应急响应计划规范思维导图
    
12. 闲话等级保护：浅谈应急响应与保障
    
13. 闲话等级保护：如何做好网络总体安全规划
    
14. 闲话等级保护：如何做好网络安全设计与实施
    
15. 闲话等级保护：要做好网络安全运行与维护
    
16. 闲话等级保护：人员离岗管理的参考实践

17. 网络安全等级保护：浅谈物理位置选择测评项

18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。

47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

49. >>>其他<<<

50. 网络安全十大安全漏洞

51. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

52. 网络安全等级保护：应急响应计划规范思维导图

53. 安全从组织内部人员开始
54. 网络安全知识：二手设备安全
55. 网络安全知识：物流业的网络安全
56. 毕马威对2023年网络安全的3项预测

原文始发于微信公众号（祺印说信安）：网络安全等级保护：等级保护测评过程要求PPT