等级保护测评机构基本介绍教学PPT课件.pptx

等级保护测评机构基本介绍 目录 3：等级保护测评要求在级差上的变化 4：等级保护测评机怎么申请 2：等级保护测评机测评要求 1：等级保护测评机基本介绍 等级保护测评机构基本介绍 为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 测评机构介绍 测评工作介绍 等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 测评机构实行推荐 测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐，听说时代新威不错，可以去咨询问一下。 测评机构联盟介绍 测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 测评机构应按照国家有关网络安全法律法规规定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 测评机构义务 测评机构 测评要求 为什么要修订《网络安全等级保护测评要求》 国家标准GB/T 28448－2012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安全等级保护工作开展过程中发挥了重要的指导作用，被广泛应用于等级保护测评机构、各个行业和领域开展网络安全等级保护的等级测评和安全自查等相关工作。GB/T 28448自2012年发布以来，随着信息技术的发展，在标准应用过程中特别是云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下也遇到了一些新的问题，GB/T 28448－2012在适用性、时效性、易用性、可操作性上需要进一步完善。此外，作为测评指标进行引用的GB/T 22239－2008也启动了修订工作。为适应我国网络安全等级保护工作发展的需要，进一步与新版的GB/T 22239相协调，有必要对GB/T 28448－2012进行修订。 为什么要修订《网络安全等级保护测评要求》 GB/T 28448《信息安全技术 网络安全等级保护测评要求》（以下简称“测评要求”）将按照应用的领域划分成安全通用要求和具体领域的安全扩展测评要求。目前计划发布以下部分： ——第1部分：安全通用要求； ——第2部分：云计算安全扩展要求； ——第3部分：移动互联安全扩展要求； ——第4部分：物联网安全扩展要求； ——第5部分：工业控制系统安全扩展要求； ——第6部分：大数据安全扩展要求。 《测评要求第1部分：安全通用要求》主要修订内容 根据全国信息安全标准化技术委员会2013年10月下达的国家标准制修订计划，公安部第三研究所（公安部信息安全等级保护评估中心）牵头组织了对GB/T 28448-2012的修订工作。 在前期先对GB/T 22239进行修订的同时，研究确定了《测评要求》修订技术思路。待GB/T22239形成草案后，同步开始修订《测评要求》。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程，也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系，提前向大家介绍以下对原国家标准GB/T 28448-2012修订的一些主要内容。 等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。 单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。修订后的单项测评中测评指标更加细化，由原标准中的安全控制点调整为安全控制点下的具体安全要求项，更有助于测评实施的开展。 整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间、层面间和区域间测评等方面调整为现标准的安全控制点测评、安全控制点间测评和层面间测评。 另外，为了更好使机构测评人员明确测评工作的作用对象，在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。 等级测评技术框架的变化 标准内容的变化 测评要求沿用正在修订中的《网络安全等级保护定级指南》GB/T 22240提出的“等级保护对象”概念，并给出针对等级保护对象的安全等级保护测评的定义。 依据GB/T 22239.1标准文本架构，测评要求描述了如何从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制