大家知道三級系統、二級系統分别幾年一測嗎?時代新威緻力于網絡安全等級保護,為您介紹等級保護測評的工作周期。一般情況下,三級資訊系統每年需測評一次,二級資訊系統每兩年需測評一次。
具體相關要求:
第十四條 資訊系統建設完成後,營運、使用機關或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《資訊系統安全等級保護測評要求》等技術标準,定期對資訊系統安全等級狀況開展等級測評。第三級資訊系統應當每年至少進行一次等級測評,第四級資訊系統應當每半年至少進行一次等級測評,第五級資訊系統應當依據特殊安全需求進行等級測評。
資訊系統營運、使用機關及其主管部門應當定期對資訊系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級資訊系統應當每年至少進行一次自查,第四級資訊系統應當每半年至少進行一次自查,第五級資訊系統應當依據特殊安全需求進行自查。
經測評或者自查,資訊系統安全狀況未達到安全保護等級要求的,營運、使用機關應當制定方案進行整改。
第十五條 已營運(運作)的第二級以上資訊系統,應當在安全保護等級确定後30日内,由其營運、使用機關到所在地設區的市級以上公安機關辦理備案手續。
建立第二級以上資訊系統,應當在投入運作後30日内,由其營運、使用機關到所在地設區的市級以上公安機關辦理備案手續。
隸屬于中央的在京機關,其跨省或者全國統一聯網運作并由主管部門統一定級的資訊系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運作的資訊系統在各地運作、應用的分支系統,應當向當地設區的市級以上公安機關備案。
關于網絡安全等級保護測評漏掃和滲透相關規定
根據《資訊安全技術資訊系統安全等級保護測評過程指南 》7.2.2.4 工具測試 相關規定:
輸入:測評指導書,技術安全測評的網絡、主機、應用測評結果記錄表格。任務描述:
a) 根據測評指導書,利用技術工具對系統進行測試,包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協定分析等。
b) 備份測試結果。
下面列出對不同等級資訊系統在測評實施時的不同強度要求
一級:滿足GB/T22239-2008中的一級要求。
二級:滿足GB/T22239-2008中的二級要求,針對主機、伺服器、關鍵網絡裝置、安全裝置等裝置進行漏洞掃描等。
三級:滿足GB/T22239-2008中的三級要求,針對主機、伺服器、網絡裝置、安全裝置等裝置進行漏洞掃描,針對應用系統完整性和保密性要求進行協定分析,滲透測試應包括基于一般脆弱性的内部和外部滲透攻擊。
四級:滿足GB/T22239-2008中的四級要求,針對主機、伺服器、網絡裝置、安全裝置等裝置進行漏洞掃描,針對應用系統完整性和保密性要求進行協定分析,滲透測試應包括基于一般脆弱性的内部和外部滲透攻擊。輸出/産品:技術安全測評的網絡、主機、應用測評結果記錄,工具測試完成後的電子輸出記錄,備份的測試結果檔案。
總結
二級資訊系統在等級保護測評過程中至少有一次漏掃,并出具相應的漏掃報告,報告中不能有高危漏洞;
三級資訊系統在等級保護測評過程中至少有一次漏掃和滲透測試,并出具相應的漏掃報告和滲透測試報告,報告中皆不能有高危漏洞;
在測評過程中若客戶不想做漏掃和滲透測試,客戶需要寫一份聲明,聲明内容中要明确客戶放棄本次漏掃和滲透測評,有問題自己負責等條款。