干货 | 信息安全等级保护测评有哪些流程？

01
等级保护测评的依据
依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。
第一级：用户自主保护级，目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；
第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次；
第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评；
第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评；
第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。
02
等级保护工作的步骤
运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：
1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。
2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、对所定级的系统进行专家评审（二级系统也需要专家评审）。
4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。
5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见第三条）。
6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。
7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。
03
等级测评的流程
差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。