13_等保系列之等保2.0流程标准

管理整改:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改:指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

网站系统等级测评

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评，测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容:

安全控制测评:主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;
系统整体测评:主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

监督检查

企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。

等级测评具体流程

等级测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

测评准备活动阶段

测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。

一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

签订《合作合同》与《保密协议》:合同中对项目范围(系统数量)、项目内容(差距测评、验收测评、协助整改)、项目周期(什么时间进场、项目计划做多长时间)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。约定测评机构在测评过程中的保密责任。
项目启动会:在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。
系统情况调研:通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。

测评方案编制阶段

该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。

其中技术测评包括:网络安全测评、管理安全测评、物理安全测评、应用安全测评、主机安全测评五个方面。

分析与报告编制阶段

此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本，如《某系统等级测评报告》、《某系统整改建议》等。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。此阶段工作不一定需要在客户现场，《测评报告》的模板是由公安机关统一制定完成的。

整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

验收测评阶段

主要是检查整改的效果。一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。

如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

总结

√ 工作步骤

√ 等级测评具体流程