公司等保测评资质



公安部第三研究所颁发

SC202127130010120

等级保护发展历程
国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。等级保护制度适用于在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,个人及家庭自建自用的网络除外。
1994

国务院147号令

·第一次提出等级保护的概念;

·第九条:计算机信息系统实行安全等级保护

1999

GB 17859

·强制性标准:规定了我国计算机信息系统安全保护能力的五个等级。

2003

中办发27号文

·信息安全保障纲领性文件;

·第二条:实行信息安全等级保护。

2004

公通字[2004]66号文

·进一步明确了信息安全等级保护制度的基本内容

2007

公通字[2007]43号

·等级保护管理办法发布,明确如何建设、如何监管和如何选择服务商等;

·为开展信息安全等级保护工作提供了规范保障

2017

网络安全法

·第二十一条“国家实行网络安全等级保护制度”,深化等保制度重要举措。

2019

等保2.0相关标准系列

· 通用要求

· 测评要求

等级保护工作流程


公通字【2007】43号文-等级保护“规定动作”

  • 定级
    确定定级对象,初步确认定级对象,专家评审,主管部门审核、公安机关备案审查。
  • 备案
    持定级报告和备案表到当地公安机关网监部门进行备案。
  • 建设整改
    参照信息系统当前等级要求和标准,对信息系统进行整改加固。
  • 等级测评
    委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。
  • 监督检查
    向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。
等级保护测评流程
等级保护内容(三级通用)

等级保护2.0安全技术设计框架

常见拓扑规划图
  • 安全区域边界
    在各重要网络节点将传统防火墙升级为下一代防火墙,提供应用级内外双向防护,构建主动防御体系。
  • 安全通信网络
    应用商密SSL VPN,实现移动办公的端到端的安全接入,避免移动引入高级威胁,并符合等保2.0移动互联安全建设要求。
  • 云安全
    应用了安全服务平台,实现按需申请、自由编排安全组件,不但合规,且充分适应了云的灵活性要求。
  • 安全运维管理
    应用态势感知平台,不但实现全局运营,同事帮助用户实时监测高级威胁,实现发现、及时处置安全事件。
  • 安全区域边界
    在各重要网络节点将传统防火墙升级为下一代防火墙,提供应用级内外双向防护,构建主动防御体系。
  • 安全通信网络
    应用商密SSL VPN,实现移动办公的端到端的安全接入,避免移动引入高级威胁,并符合等保2.0移动互联安全建设要求。
  • 云安全
    应用了安全服务平台,实现按需申请、自由编排安全组件,不但合规,且充分适应了云的灵活性要求。
  • 安全运维管理
    应用态势感知平台,不但实现全局运营,同事帮助用户实时监测高级威胁,实现发现、及时处置安全事件。
  • 管理要求