等保

为了深入贯彻落实 等保 制度，进一步提升等级测评工作的标准化和规范化水平，推进 网络安全等级保护2.0 系列标准实施应用，公安部网络安全保卫局组织编制了《网络安全等级保护测评报告模板（2021版）。但有很多企业不知道新等保测评报告编号组成部分有哪些？代表什么意思？ 等保测评报告编号组成部分有哪些？代表什么意思？ 【回答】：首先我们要知道，每个备案系统单独出具测评报告。每个测评报告编号为四组数据，各组含义和编码规则如下： 1、第一组为系统备案表编号，由2段16位数字组成，可以从公安机关颁发的系统备案证明（或备案回执）上获得。第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2 段即备案证明编号的后5位（系统编号）。 2、第二组为年份，由2位数字组成。例如09代表2009年。 3、第三组为机构代码，由网络安全等级测评与检测评估机构服务认证证书编号最后四位数字组成。 4、第四组为本年度系统测评次数，由两位构成。例如02表示该系统本年度测评2次。 等保测评报告相关问题汇总 1、等保测评报告多久可以拿到？ 依照整改标准进行整改，从完成备案后到拿到测评报告需要1~2个月不等。具体需要视情况而定。 2、 等保测评结论为差，是不是表示等保工作白做了？ 不是的。等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。所以一定要抓紧时间整改。 3、 等保测评中双因素认证是什么意思？ “双因素”顾名思义，通常就是在“静态口令”的基础上增加另外一种鉴别因素以实现强身份鉴别，确保是用户账号拥有者本人登录。第二因素实现形式包括但不限于：短消息认证、邮件认证、动态口令令牌、USB-KEY、指纹、面部、虹膜、声音等，其中动态口令令牌由于其实现成本较低且操作方便，是目前最常使用的一种。

等保2.0 政策中，云计算安全扩展要求是针对 云计算平台 提出的安全通用要求之外额外需要实现的安全要求。但在实际工作中，通常需要在作业指导书中加以识别。今天我们就先来聊聊，综合考虑云计算安全扩展要求关注的安全目标和实现方式的区分原则有哪些？ 原则一：仅关注云计算平台自身安全防护（如基础设施位置的要求条款），或云计算平台向云服务客户提供的基础安全服务相关的安全要求（如不同云服务客户虚拟网络隔离的要求条款），只适用于云计算平台。 原则二：关注云计算平台为云服务客户提供且需要客户“自操作”的安全服务相关的安全要求（如确保云服务商对云服务客户的操作可审计的安全条款），同时适用于云计算平台和云服务客户业务系统。 原则三：分别关注云计算平台和云服务客户业务系统各自安全防护需求的安全要求（如虚拟网络边界访问控制的要求条款），同时适用于云计算平台和云服务客户业务系统。 原则四：仅关注云服务客户安全需求的安全要求（如“云服务商选择”控制点中安全要求），只适用于云服务客户业务系统。 【知识拓展】：等保2.0云计算安全扩展要求包括哪些？ 云计算 安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。 【相关链接】： 1、 等保2.0政策之物联网安全扩展要求包括哪四个？ 2、 你知道等保2.0安全扩展要求包括哪些？法律依据是什么？ 3、 等保2.0云计算安全扩展要求包括哪些？

随着 等保 政策的严格落地执行，越来越多的企业需要 过等保，越来越多小伙伴想成为等保测评师。那怎么才能成为等级测评师呢？怎么报名？多少分及格？ 等级测评师怎么报名？ 需要去等级测评机构单位统一报名。初、中、高级等级保护测评师分别对应等级测评机构的测评员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位。各等级测评机构应当根据人员岗位按65%、30%和5%的比例推荐本单位测评人员报名参加初、中、高级等级测评师的考试（其中初级等级测评师又分为技术和管理两类）。 等级测评师多少分及格？ 1、初级等级测评师：笔试，满分100分，合格分数线为60分，笔试时间为120分钟； 2、中级等级测评师：笔试加面试，满分100分，笔试和面试成绩各占50分，合格分数线为60分；笔试时间为120分钟，面试时间为15分钟； 3、高级等级测评师：笔试加面试，满分100分，笔试占40分，面试占60分；笔试时间为100分钟，面试时间为20分钟。 【知识拓展】：等级测评师具体能力要求 一、初级等级测评师 1、了解信息安全等级保护的相关政策、标准； 2、熟悉信息安全产品分类，了解其功能、特点和操作方法； 3、掌握等级测评方法，能够根据测评指导书客观、准确、完整的获取各项测评证据； 4、掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据； 5、能够按照报告编制要求整理测评数据。 二、中级等级测评师 1、熟悉信息安全等级保护相关政策、法规； 2、正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展； 3、掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验； 4、具有丰富的项目管理经验，熟悉测评项目的工作流程和质量管理方法，具有较强的组织协调和沟通能力； 5、能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程 6、能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法； 7、具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性，具备较强的文字表达能力； 8、了解等级保护各个工作环节的相关要求，能够针对测评中发现的问题，提出合理化的整改建议。 三、高级等级测评师 1、熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展； 2、对信息安全等级保护标准体系及主要标准有较为深入的理解； 3、具有信息安全理论研究的技术、时间经验和研究创新能力； 4、具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力； 5、熟悉等级保护的全过程，熟悉定级、 等级测评、建设整改各个工作环节的要求。 【相关链接】： 1、 等保测评师是做什么的？工资怎么样？ 2、 等保测评师怎么考，前景怎么样？

最近上网冲浪时候，看到有企业人员再问，等保测评结论为差，是不是表示 等保 工作白做了？这种情况怎么办？谁能详细解答一下，谢谢各位大佬了！ 等保测评结论为差，是不是表示等保工作白做了？ 【回答】：不是的。 等级保护测评 结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。所以一定要抓紧时间整改。 等保工作中常见导致等保测评结论为差的高风险项汇总 1、云计算平台不在国内的不能选 二级及以上云计算平台其 云计算 基础设施需位于中国境内。如果你选择了一个境外的云平台，那么等保肯定过不了。 2、内部只有一个网段的不符合 二级及以上系统，应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公网络，对外和对内的服务器区混在一起的都是高危风险。 3、不受控的无线网络随意接入内部网络 等保三级 及以上系统，无线网络和重要内部网络互联不受控制，或控制不当，通过无线网络接入后可以访问内部重要资源，这是高风险项，所以在三级及以上系统中要对非法接入行为进行管控，建议大家上安全准入设备，不仅仅只针对无线网络管控。 更多请看这里： https://www.cloudbility.com/club/13840.html 等保测评结论级别划分标准 1、优：被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上，包含90分； 2、良：被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上，包含80分； 3、中：被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上，包含70分； 4、差：被测对象中存在安全问题，而且会导致达测对象面临高等级安全风险，或被测对象综合得分低于70分。 【相关链接】： 1、 十个等保常见问题解答汇总 2、 等保是强制的吗？企业不办等保有啥处罚？ 3、 等保测评是安全认证吗？

等保 政策落地执行后，大家都非常配合且非积极办理等保相关手续。但不少企业对于等保政策还存在很多不了，例如等保备案主体是谁？在当地网安进行备案是吗？ 等保备案主体是谁？在当地网安进行备案是吗？ 【回答】：《信息安全等级保护管理办法》规定， 等级保护 的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为，出现网络安全事件后，第一责任单位是谁，谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下，在单位所在地属地（县级及以上）网安进行定级备案。如运维所在地和注册地不一致，一般以运维所在地备案。当然也有一些特殊行业的要求，比如一些涉及到金融安全的行业，比如互联网金融系统、支付系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。 知识拓展：办理 等保备案 所需资料 二级需提供《信息系统安全等级保护备案表》；但第三级以上信息系统应当同时提供以下材料： 1、系统拓扑结构及说明； 2、系统安全组织机构和管理制度； 3、系统安全保护设施设计实施方案或者改建实施方案； 4、系统使用的信息安全产品清单及其认证、销售许可证明； 5、测评后符合系统安全保护等级的技术检测评估报告； 6、信息系统安全保护等级专家评审意见； 7、主管部门审核批准信息系统安全保护等级的意见。 【相关链接】： 1、 等保备案是什么意思？应该去哪里办理备案？ 2、 等保备案是等保测评吗？两者是什么关系？