- 测评机构职责:负责根据运营、使用单位的委托或根据等级保护管理部门的授权,协助运营、使用单位或等级保护管理部门,按照国家网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的等级保护对象进行等级测评;对网络安全产品供应商提供的网络安全产品进行安全测评。
- 网络安全服务机构:负责根据运营、使用单位的委托,依照国家网络安全等级保护的管理规范和技术标准,协助运营、使用单位完成等级保护的相关工作,包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造、提供服务支撑平台等。
- 当等级保护对象发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进入等级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程。
- 等级保护对象分析:识别但未基本信息、识别单位的等级保护对象基本信息、识别等级保护对象的管理框架、识别等级保护对象的网络及设备部署(确定边界,明确等保对象及范围)、识别等级保护对象的业务特性、识别等级保护对象处理的信息资产、识别用户范围和用户类型、等保对象描述(概述、重要性分析、边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围类型、管理框架)
- 等级保护对象划分:划分出相对独立的对象作为定级对象,应保证每个相对独立的对象具备定级对象的基本特征。首先考虑组织管理要素,然后考虑业务类型、物理区域等要素。承载比较单一的业务应用或承载相对独立的业务应用的对象应作为单独的定级对象。
- 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
- 根据不同服务模式将云计算平台/系统划分为不同的定级对象。
- 物联网各要素不单独定级。
- 工控系统,现场采集/执行、现场控制、过程控制等作为一个整体定级;生产管理要素宜单独定级。
- 移动互联,移动终端、移动应用和无线网络等作为一个整体定级或与相关联业务系统一起定级,各要素不单独定级。
- 定级对象详细描述:相对独立的定级对象列表、概述、边界、设备部署、业务应用及其处理的信息资产类型、服务范围和用户类型等。
- 定级结果报告:单位信息化现状概述、管理模式、定级对象列表、概述、边界、设备部署、支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等
- 安全需求分析报告:等级保护对象描述、基本安全需求描述、特殊安全需求描述
- 设计结果文档:等级保护对象概述、总体安全策略、等级保护对象安全技术体系架构、管理体系架构
- 安全建设项目规划:规划建设的依据和原则、规划建设的目标和范围、等级保护对象安全现状、信息化的中长期发展规划、等级保护对象安全建设的总体框架、安全技术体系建设规划、安全管理与安全保障体系建设规划、安全建设投资估算(含测试、运维等)、等级保护对象安全建设的实施保证等内容
- 安全建设详细规划:建设目标和建设内容、技术实现方案、网络安全产品或组件安全功能及性能要求、网络安全产品或组件部署、安全控制策略和配置、配套的安全管理建设内容、工程实施计划、项目投资概算。
- 产品和服务的可信性:符合国家有关规定
- 安全控制集成验收报告:三级及以上等保测评对象,需提交等级保护测评报告作为验收必要文档。
11-13