常见问题 > 等保测试是否需要定级备案?测评工作规范

等保测试是否需要定级备案?测评工作规范

作者:小编 发表时间:2023-09-01 16:15

  等保测试是否需要定级备案?不少企业都需要做等保测试,但是不知道是不是需要定级备案,今天快快网络小编就详细跟大家介绍下等保测试的详细步骤。等级测评内容覆盖组织的重要信息资产,分为技术和管理两大层面。

  等保测试是否需要定级备案?

  1、定级备案,信息系统需要填写备案表,对信息系统进行定级,并提交到网监,网监会颁发一个备案号以及电子版备案证明。

  2、进行等保测评,找到相关测评公司对系统进行等保测评,如满足三级等保要求,则会出具等保测评报告,用户可以用等保测评报告去网监兑换纸质版备案证明。

  3、如测评不通过,系统没达到等保三级要求,则需要进行整改,包括安全设备添加,系统漏洞修缮等,再进行测评。

  原则上,三级等保每年需要复测一次,但是备案只需要备案一次,如果更换系统名字则需要重新备案。二级等保每三年复测一次;四级等保每半年复测一次。

等保测试是否需要定级备案

  测评工作规范

  等级测评工作中,应遵循以下规范和原则。

  ① 标准性原则:测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。

  ② 规范性原则:为用户提供规范的服务,工作中的过程和文档需具有良好的规范性,可以便于项目的跟踪和控制。

  ③ 可控性原则:测评过程和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。

  ④ 整体性原则:测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和全面性。

  ⑤ 最小影响原则:测评工作具备充分的计划性,不对现有的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。

  ⑥ 保密性原则:从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评过程中对测评数据严格保密。

  ⑦ 个性化原则:根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。

  等保测试是否需要定级备案看完文章就能清楚知道了,等级保护定级备案是网络安全等级保护的第1阶段,而这一部分对后续工作起到重要指引作用。把需要做好网络安全防护的对象,采取合适的网络安全防护建设。