等保测评 密评服务 软件测试服务 网络安全服务 培训教育服务

网络安全等级保护测评(等保)

等级测评的定义来源于《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》。测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估。

  • 等保为国家政策制度要求

    《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《关键信息基础设施保护条例》明确提出,网络运营者应依法开展网络定级备案、安全建设整改、等级测评和自查等工作,通过管理和技术措施保障网络与数据安全。

  • 等保工作为监管部门提供监督检查依据

    通过监督检查,逐步提高辖区内运营者网络安全建设及防护水平。

  • 等保为运营者建立科学防御体系

    从安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心、安全管理制度、安全管理人员、安全管理机构、安全运维管理、安全建设管理十大层面,提出“一个中心、三重防护”思路,兼顾技术与管理,帮助运营者识别薄弱环节并持续整改提升。

网络安全等级保护政策法律要求

中华人民共和国网络安全法相关图示

常务委员会《中华人民共和国网络安全法》是为保障网络安全、维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,由全国人民代表大会制定,于 2016 年 11 月 7 日发布,自 2017 年 6 月 1 日起施行。

《网络安全法》的第二十一条、第三十八条中明确指出:“国家实行网络安全等级保护制度”,“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。这里所指检测评估,即依据系统定级情况定期开展等级保护测评工作。

  • 1、《网络安全法》第二十一条、第三十八条明确指出:国家实行网络安全等级保护制度;关键信息基础设施运营者应每年至少进行一次安全检测评估。
  • 2、中央关于加强社会治安防控体系建设意见、公安改革相关文件要求健全完善信息安全等级保护制度。
  • 3、中央领导批示强调:要健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。

政策法规及标准的发展

1994 年
国务院 147 号令《中华人民共和国计算机信息系统安全保护条例》提出“计算机信息系统实行安全等级保护”。
1999 年
《计算机信息系统安全保护等级划分准则》发布,规定我国计算机信息系统安全保护能力五个等级。
2003 年
中办发 27 号文《国家信息化领导小组关于加强信息安全保障工作的意见》提出实行信息安全等级保护。
2007 年
公通字 43 号文《关于印发〈信息安全等级保护管理办法〉的通知》明确等级保护基本内容、流程与工作要求。
2017 年
《网络安全法》正式确立国家网络安全等级保护制度,并对关键信息基础设施实行重点保护。
2018 年
《网络安全等级保护条例(征求意见稿)》提出分等级保护、分等级监管,并将等级保护工作纳入考核。
2019 年
《网络安全等级保护基本要求》发布,等级保护建设进入 2.0 时代。

工作环节

1

系统定级

经营使用单位、行业主管单位

2

系统备案

经营使用单位、公安机关

3

建设整改

经营使用单位

4

等级测评

经营使用单位、测评机构

5

监督检查

国家监管部门、公安机关、行业主管单位

测评流程

等级测评流程图