网络安全等级保护测评常见问题与解答

1、问:申请测评的单位测评前期需要提供什么资料?

答:(1)申请测评的单位需填写并提供《网络安全等级保护测评2.0系统调研表》,包括申请方基本情况、待测系统的资产、系统拓扑图、系统安全管理制度等材料。

(2)需要提供网络安全等级保护备案材料,包括网络安全等级保护定级报告及备案证明。

(3)其他文档,包括主机层和应用层漏洞扫描报告且不能包含中高风险漏洞。

具体《网络安全等级保护测评2.0系统调研表》可在深圳市信息安全管理中心网站(http://www.ismc.org.cn/)下载。

2、问:网络安全等级保护测评的对象是什么?

答:依据《信息安全等级保护管理办法》,信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。

3、问:网络安全等级保护测评有什么风险?

答:在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看相关信息,可能对系统的运行造成一定的影响,甚至存在误操作的可能。同时,在现场测评时,会使用部分技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

4、问:被测评单位需要提供什么信息?

答:被评测的系统运维单位应配合提供以下相关系统信息:包括被测单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、被测系统详细描述文件、被测系统安全保护等级定级报告、安全需求分析报告、被测系统安全总体方案、安全现状评价报告、被测系统安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档以及其他相关信息。

5、问:网络安全等级保护测评的目的?

答:根据《信息安全等级保护管理办法》的规定,系统按照《网络安全等级保护基本要求》等技术标准建设完成后,运营使用单位应当选择符合规定条件的测评机构,定期对系统安全等级保护状况开展等级测评。通过测评,一是可以掌握系统的安全状况,排查系统安全隐患和薄弱环节、明确系统安全建设整改需求;二是衡量系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。

6、问:网络安全等级保护测评的评估间隔为多久?

答:《信息安全等级保护管理办法》明确提出了:“定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”