明鉴信息安全等级保护检查工具箱

Ⅰ 如何申请信息安全等级保护检测资质

申请等保测评机构的单位应该具备这些条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;

（二）产权关系明晰，注册资金 500 万元以上，独立经营核算，无违法违规记录；

（三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；

（四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有网络安全相关工作经历的技术和管理人员不少于 15 人，专职渗透测试人员不少于 2 人，岗位职责清晰，且人员相对稳定；

（六）具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；

（八）不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；

（九）应具备的其他条件。

初步申请通过后，申请成为等保测评机构的单位还要接受复审，主要是对测评师的要求，比如申请单位应至少有 15人获得测评师证书，其中高级测评师不少于 1 人，中级测评师不少于 5 人。对于满足申请条件，且通过复审的单位，等保办会颁发《网络安全等级保护测评机构推荐证书》。

同时，等保办会于每年 12 月份对所推荐测评机构进行年审。年审通过的，等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。年审未通过的，等保办会责令测评机构限期整改。拒不整改或整改不符合要求的，测评机构的等级测评业务会被暂停。

此外，等保测评推荐证书并不是永久性的。测评机构推荐证书有效期为三年，测评机构应在推荐证书期满前 30 日内，向等保办申请期满复审。

最后，省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中，测评机构应接受被测网络备案公安机关的监督、检查和指导。

Ⅱ 简述什么是信息安全等级保护，信息系统的安全等级保护具体分为哪几级

1、信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

2、信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

(2)明鉴信息安全等级保护检查工具箱扩展阅读：

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；

另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能；

使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

Ⅲ 国瑞信安等保检查工具箱怎么样

据我了解来信息安全等级保源护检查工具箱，必须要经过公安部信息安全产品检测中心，严格检测并合格才能上市销售，能通过厂商很少，不知你是哪里的？我们这里就只有一家，国瑞信安信息安全等保检查工具箱，他家的等保检查工具箱完全符合公安部的标准，公安部入围的，应该有权威性吧。提交回答

Ⅳ 等级保护检查工具箱有哪些厂家，哪家最好

江苏国瑞信安信息安全等保检查工具箱，公安部一所的检查工具箱，北京锐安，北京圣博润和杭州安恒。

Ⅳ 信息安全等级保护测评所需工具有哪些从何处可以获得费用大概多少

可以办理的等级保护资质的，等级保护一共分5级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

企业办理等级保护备案的流程是：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

证书案例

Ⅵ 国家信息技术安全中心是干什么的

是为国家信息安全提供保障服务。

国家信息技术安全研究中心（国家信息技术安全中心），专是经中央编制属委员会批准组建的从事信息安全核心技术研究、为国家信息安全保障服务的科研单位。

国家信息技术安全研究中心成立于2005年，主要承担信息技术产品/系统的安全性分析与研究；承担国家基础信息网络和重要信息系统的信息安全保障任务；研发具有自主知识产权的信息安全技术。

(6)明鉴信息安全等级保护检查工具箱扩展阅读：

国家信息技术安全研究中心的产品：

1、防护类-安全邮局系统。安全邮局系统采用最先进的IBC标识密码技术构建，直接对邮件的内容加密传输。

2、检测类-等级保护检查工具箱。该产品适用于等保测评全部技术检测项目。

3、检测类-漏洞扫描评估系统。“漏洞扫描评估系统”主要用于等保测评、风险评估、安全审计和应急处置等系统安全性检测工作。

4、检测类-商品密码安全性检测工具集。系统采用特制硬件加速卡技术，是密码安全性验证效率大大提高。

Ⅶ 什么是信息安全等级保护信息系统的安全等级保护具体分为哪几级

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

信息系统安全等级保护一共分为五个阶段：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

Ⅷ 什么是信息安全、等级保护以及风险评估

一、等级保护、风险评估和安全测评的概念和提出背景

1、等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件进行等级响应、处置。

注意：这里所指的信息系统，是指由计算机及其相关、配套的设备和设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。

提出背景：

1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定：计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年，公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999)，规定了计算机信息系统安全保护能力的五个等级，即第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。GB17859中的分级是一种技术的分级，即对系统客观上具备的安全保护技术能力等级的划分。

2002年7月18日，公安部在GB17859的基础上，又发布实施了五个GA新标准，分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。

2004年，在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中，信息和信息系统的安全保护等级被划分为五级，即第一级：自主保护级；第二级：指导保护级；第三级：监督保护级；第四级：强制保护级；第五级：专控保护级。特别强调的是，66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的系统已具备的安全技术等级。

2、风险评估

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

提出背景：

风险评估不是一个新概念，金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时，就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快，具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

2004年，国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，这对规范我国信息安全风险评估的做法具有很好的指导意义。

3、系统安全测评

由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。

注意：认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认，认证以标准和测评的结果作为依据。

提出背景:

我国的系统认证虽然起步较早，但由于认证周期、建设差异等多方面的原因，目前的系统认证数量还非常少。在我国，中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响力的开展有关系统安全测评认证的机构。

国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)明确规定，对信息安全产品进行“统一标准、技术规范与合格评定程序；统一认证目录；统一认证标志；统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前，多数情况下，系统安全测评的结果可直接作为主管部门对系统安全认可的依据。

二、三者的联系和区别

等级保护是指导我国信息安全保障体系建设的一项基础管理制度，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的的不同的研究、分析方法。从这个意义上讲，等级保护要高于风险评估和系统测评。

打个比方：如果说等级保护是指导信息安全建设的宪法，风险评估和安全测评则是针对系统安全性评估或合格判定方面的专项法律。

Ⅸ 信息安全测评是什么只有等级保护吗

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，山东省软件评测中心作为公安部授权的第三方测评机构，为企事业单位提供免费专业的信息安全等级测评咨询服务。

信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动.

等级测评体系建设主要内容包括测评机构的建设和规范管理，测评人员和测评活动的规范管理等。信息安全等级保护测评工作是信息安全等级保护工作的重要环节，是专门机构针对信息系统开展的一种专业性、服务性的检测活动。

等级测评工作涉及的信息系统范围广、敏感性强，参与的测评机构及测评人员复杂，如果缺乏对测评机构和测评人员的管理，则难以保证等级测评的客观、公正和安全，甚至会给重要信息系统安全造成新的风险和隐患，危害国家安全和社会稳定。

为加强对测评机构及测评人员管理，稳步推进等级测评机构建设，规范等级测评活动，提高测评机构、人员的技术能力和水平，在国家信息安全等级保护协调小组的领导下，全国组织开展信息安全等级保护等级测评体系建设工作，以保障等级保护工作的顺利开展。

(9)明鉴信息安全等级保护检查工具箱扩展阅读：

工作内容

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。

另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。

因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

参考资料来源：网络-信息安全等级保护