專業(yè)CMA\CNAS第三方軟件測試報告服務(wù)商

《信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。

1、等級保護對象的定級：根據(jù)等級保護相關(guān)管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：受侵害的客體和對客體的侵害程度。

2、等級保護對象的備案：已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)（等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)），由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)（等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)），由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。

3、等級保護的實施：根據(jù)《網(wǎng)絡(luò)安全法》，第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。實施過程中需要遵循如下步驟：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構(gòu)備案審查→最終確定的級別。

4、監(jiān)督檢測：企業(yè)最終確定網(wǎng)站的級別以后，就可以到公安機關(guān)進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。第三級以上信息系統(tǒng)需提供以下材料：系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；系統(tǒng)安全組織機構(gòu)和管理制度；系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；信息系統(tǒng)安全保護等級專家評審意見；主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。