等级保护测评安全信息怎么写/信息系统等级保护测评(信息系统等级保护测评要求)_零基础白帽子技巧

等级保护测评安全信息怎么写/信息系统等级保护测评(信息系统等级保护测评要求)_零基础白帽子技巧

标题：信息系统等级保护测评报告

对于二级及以上的信息系统来说，其网络运营单位不仅要备案，还要按照要求开展等级测评工作。机关会根据测评机构在测评结束后给出的测评报告，考量网络运营单位的等级保护工作是否合规、是否达到标准。等保2.0时代，运营单位等级测评得分要在70分以上，并且信息系统没有高风险项才算通过，而等级测评得分正是等级测评报告的其中一项内容。在此提供信息安全等级测评报告的详细解读，需要做等级测评的企业快看好啦！

总的来说，一个完整的测评报告，包含的内容有：报告编号、信息系统等级测评基本信息表、声明、等级测评结论、总体评价、主要安全问题、问题处置建议。

其中，等级测评报告编号为四组数据，如00001-19-4105-01。组为信息系统备案表编号，第二组为年份，第三组为测评机构代码，第四组为本年度信息系统测评次数。信息系统等级测评基本信息表主要是关于信息系统、被测单位、测评单位的描述。声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作，测评机构可增加特殊声明。

我们重点来说一下等级测评结论、总体评价、主要安全问题和问题处置建议。

等级测评结论一般如下表所示：

测评结论和综合得分

被测对象名称

times;times;志愿系统

安全保护等级

第二级（S2A2）

等级保护

对象形态

被测对象描述

times;times;系统在线服务应用，能进一步提供给用户制定升学规划，方便用户更加注地学习技能，不用浪费时间在筛选学校及上。

测评工作描述

等级测评结论

良

综合得分

84.2

总体评价是测评机构对于本次测评的总体性描述。为几百家企业客户提供过等级保护一站式服务，下面是其中一位企业级客户的测评报告中的总体评价，以此为例进行说明：

本次对被测系统实施的等级测评工作包含两个方面的内容：单元测评和整体测评。单元测评主要测评《信息安全技术网络安全等级保护基本要求》（GB/-2019）所要求的基本安全控制在被测单位中的实施和配置情况。整体测评主要测评分析信息系统的整体安全性。汇总第3和第4章的内容，对被测系统实施单元测评和整体测评分析后，可以得到如下测评结果：

被测系统的物理布局、网络结构和业务逻辑等在整体结构上合理、安全。在物理上，被测系统的重要设备均部署在具有严格访问控制、防火、防水防潮、防破坏等能力的独立机房内，并严格限制了外部人员的物理访问。在网络上，被测系统网络边界采取防火墙隔离实施边界防护和访问控制，阿里云控制台未定期进行以及形成漏洞修复方案。操作系统、应用系统、数据库等各种业务应用平台都采取了基本的身份鉴别、访问控制、审计等安全措施。在入侵防范和恶意代码防护上，采用防火墙等安全措施。在数据备份方面，重要数据每日备份。总体来看，安全技术方面具有基本安全保障能力。

在安全管理方面，被测系统所属单位已经建立了基本的信息安全管理体系，建立了相应的安全组织，设置了相应的安全部门和岗位，制订了安全管理制度，并在日常管理中依照制度要求执行。信息系统日常运行维护，如外来人员访问管理、系统安全管理和网络安全管理等方面，拥有较完善的流程和规范。总体来看，安全管理方面具有基本安全保障能力。

综合上述评价结果，可以看到信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。因此，本次等级测评结论为：良。

主要安全问题主要描述被测信息系统存在的主要安全问题及其可能导致的后果，问题处置建议则是针对系统存在的主要安全问题提出处置建议。如：

通过本次等级测评，发现被测系统仍存在一些安全问题，主要包括：

安全通信网络：1）未采用可信技术进行可信验证。

整改建议：1）建议采用可信技术进行可信验证。

安全区域边界：1）阿里云审计记录采用阿里云OSS存储并定期备份，目前审计记录未保留6个月。2）未采用可信技术进行可信验证。

整改建议：1）持续整改直至审计记录保存6个月的时间。2）建议采用可信技术进行可信验证。

在详细整理国家相关等保规范的基础上，整合云安全产品的技术优势，联合等保咨询、等保测评合作资源，为客户提供了等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，能帮助企业客户高效、合规落实等级保护，获得等级保护认证。

我们的一站式等保服务优势：

①依托自身多年的行业、产品和服务经验，打通业界资源，能极大的缩短客户过等保的总时间，让客户快速获证。最快的情况下，企业一个月内就可成功拿证；

③与等保规则的制定者签订战略合作协议，强强联合，在定级、备案、建设整改、第三方测评、监督检查及咨询业务等方面，均可为客户提供服务。

标题：信息系统等级保护测评费用

三级等保是对非银行机构的等级保护认证，二级等保虽然没有三级等保要求的那么多那么严格，其需要测评的项目也不少。举个例子，二级信息系统应该满足GB/-2008中的二级要求，针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描。

信息安全等级保护认证二级备案办理及收费

申办等级保护的企业需要先给信息系统进行定级备案，定级即确认信息系统的等级，等级确定之后，就可以准备备案材料提交给机关审核，若审核通过，机关会给予备案证明。机关对备案办理不收费，所以如果企业自己做备案的话，这一步无需交费。但如果企业次做等保，选择第三方机构来进行等保备案代办，就需要付服务费，服务费没有具体的标准，如果企业选择的第三方机构提供的是一站式的等保服务，即涵盖备案、测评、整改全方面，备案指导可能是免费的。

信息安全等级保护认证二级测评整改办理及收费

备案成功之后，企业就可以着手准备信息系统的测评和整改工作。测评主要由测评机构来进行，企业需要做的就是找合适的测评机构。测评机构的选择可以参照机关发布的测评机构推荐名单。测评机构对测评收取服务费，二级系统的测评费用一般最少是三万起步，具体要因企业需要测评的数量而定，测评项目越多，费用越高。

除了测评，企业还要对信息系统进行整改，以使得信息系统的安全防护状况符合等保要求，整改主要内容是安全管理制度的完善、安全设备补足、漏洞补丁等安全问题的修复。企业可以自己进行整改，如果企业自己做整改，整改服务费就可以省去，如果企业寻找第三方整改机构来进行整改，需交纳服务费。同时，整改的具体费用要因整改的数量来定，举个例子，如果企业需要补足的安全设备很多，费用也会很多。等保整改费用一般是几万到十几万，如果企业信息系统的安全问题很少，也有可能几千块就可以整改完毕，但这种情况很少。

想在尽可能节省等保二级认证费用的同时合规过等保找就对了！为全国企业提供一站式的等级保护解决方案，覆盖备案、测评、整改全阶段，技术团队将根据企业信息系统的实际情况和企业需求，设计一套最合理的等保方案，绝不让企业多花一分钱。举个例子，如果企业想要补足安全设备，那么，作为阿里云战略级合作伙伴，将能为企业提供阿里安全产品的折扣，让企业省钱、合规过等保！

标题：信息系统等级保护测评服务

1、什么是等保

信息系统安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护。

2、等保目的

1）满足网络安全法要求，避免被网安部门通报、罚款（各行业都要求，、互联网、游戏、教育医疗、大企业等重点盯）；

2）满足行政指令性要求，避免被网安部门约谈、责令停业整顿影像正常业务；

3、等保安全服务流程

1）系统定级：确定定级对象、系统等级；

3）建设整改：提供技术方案建议书、协助整改；

4）等级测评：协助测评（二级两年一次，三级每年一次）；

5）监督检查（项目后）：网安对信息系统监督检查；

4、等保重要性

《网络安全法》在2017年6月1日施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。等级保护制度在今天已上升为法律，并在法律层面确立了其在网络安全领域的基础、核心地位。

标题：信息系统等级保护测评流程

一、等级保护测评的依据：

依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

级：用户自主保护级，目前1.0版本不需要去备案（提交材料也会给备案证明），等保2.0是需要备案的；

第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次；

第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评；

第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评；

第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。

二、等级保护工作的步骤

1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见第三条）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

三、等级测评的流程：

差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

1、测评准备活动阶段

签订《合作合同》与《保密协议》

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评验收测评协助整改）、项目周期（什么时间进场项目计划做多长时间）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

2、测评方案编制阶段

该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

3、现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括:物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一个二级系统的现场测评工作一般需要5天左右完成。

此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。

4、分析与报告编制阶段

此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由机关统一制定的。

此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

5、整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

6、验收测评阶段

测评流程与之前的流程相同，主要是检查整改的效果。

综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

四、被测方（备案单位）在测评阶段需配合的工作

1、测评准备阶段：

2)向测评机构介绍本单位的信息化建设状况与发展情况；

4)为测评人员的信息收集提供支持和协调；

5)准确填写信息系统基本信息调查表；

6)根据被测系统的具体情况，如业务运行高峰期、网络布置情况等，为测评时间安排提供适宜的建议；

2、方案编制阶段：

与测评方讨论测评方案，并最终签字确认。

3、现场测评阶段：

1)此阶段工作测评方人员需要在客户现场完成。需要被测方提供办公位（基本的办公环境）。

2)备案单位需要机房管理员、网络管理员、安全主管、系统管理员、系统开发人员、运维人员等进行配合。

3)测评前备份系统和数据，并确认被测设备状态完好；

4)协调被测系统内部相关人员的关系，配合测评工作的开展；

5)相关人员回答测评人员的问询，对某些需要验证的内容上机进行操作；

6)相关人员确认测试前协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响；

7)相关人员对测评结果进行确认；

8)相关人员确认工具测试后被测设备的状态完好。

4、分析与报告编制阶段：

确认测评报告和整改建议。

5、整改阶段

主要由客户实施，测评机构协助。

6、验收测评阶段

此阶段与之前的差距测评阶段类似，主要是针对整改的项目进行测评，从而检验整改的效果。备案单位签收测评报告，并把测评报告向机关备案。

在上述工作全部完成后，被测单位应将由等级测评机构盖章的《测评报告》提交机关完成备案。

标题：信息系统等级保护测评评审

等保定级：信息系统安全等级，由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级，虽然说的是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级。

等级测评备案：运营、使用单位在确定等级后到所在地的市级及以上机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的，应当重新定级、重新备案。对于重新定级的，机关一般会建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

开展等级测评：运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

系统安全建设：运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。系统建设整改。对于未达到安全等级保护要求的，运营、使用单位应当进行整改。整改完成应当将整改报告报机关备案。

监督检查：机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受机关的安全监督、检查、指导，如实向机关提供有关材料。受理备案的机会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。新系统开发建设后，及时开展等级保护测评或相关安全测试，避免系统带病上线，将安全隐患消除在萌芽状态。

标题：信息系统等级保护测评要求

信息安全等级保护测评即是等保测评。

那什么是等保测评呢

等保测评是受单位委托的且具有资质的测评机构，依据国家信息安全等级保护规范规定，按照有关管理规范和技术标准，对系统（定级对象）的状况进行检测评估的活动。

简单来说，就是想要拿到测评报告就需要做等保测评。

那麼等保分多少级呢

等保分为五级，大部分企业是做二级或是三级。

那信息系统安全等级保护测评要求是什么呢

信息系统安全等级保护测评要求包括安全控制测评和系统整体测评。

测评只是等保工作的其中一环，此外还有其他四个步骤。通过检查评估，提升系统的防护能力，降低风险。

需要找拥有丰富的等保项目经验，能够制定合理的安全等保方案的测评机构，才能助力企业顺利开展等保测评工作。

本文链接：

~

网络安全学习，我们一起交流

~