网络安全等级测评备考

⑴ 信息系统安全等级保护测评流程是什么

等级测评的流程：

差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

1、测评准备活动阶段

签订《合作合同》与《保密协议》

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评？验收测评？协助整改？）、项目周期（什么时间进场？项目计划做多长时间？）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

2、测评方案编制阶段

该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

3、现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一个二级系统的现场测评工作一般需要5天左右完成。

此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。

4、分析与报告编制阶段

此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。

此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

5、整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

6、验收测评阶段

测评流程与之前的流程相同，主要是检查整改的效果。

综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

⑵ 网络安全等级2.0。主要从哪里各方面进行等级测评

网络安全等级2.0是出自《网络安全法和网络安全等级保护2.0》，是2017年电子工业出版社出版的图书，作者是夏冰。
主要是分网络安全法和网络安全两个方面，安全法说的是以国家、网络运营者、公民个人等角色的网络安全义务和责任，将原来散见于各种法规、规章中的网络安全规定上升到人大法律层面，并对网络运营者等主体的法律义务和责任的规定。
网络安全，是对互联网信息系统分级实施保护，在网络安全等级保护基础上，重点保护关键信息基础设施，能够有效地提高某个人或某企业的互联网资料的安全措施，从分级和分层的角度上来说，而达到的一种更为安全的级别，它包含不局限于网络设备（硬件）、网络维护人员、互联网安全防护软件以及其它安全防护错误等。

⑶ 有没有详细的网络安全等级保护流程介绍谢谢了。

开展网络安全等级保护工作的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。具体细节：

定级阶段：

网络运营者确定等级保护对象，明确定级对象，梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。

备案阶段：

第二级及以上网络运营者在定级、撤销或变更调整网络安全保护等级时，在明确安全保护等级后需在10个工作日内，到县级以上机关备案，提交相关材料。

建设整改阶段：

安全建设整改工作分五步进行：

落实安全建设整改工作部门，建设整改工作规划，进行总体部署;
确定网络安全建设需求并论证;
确定安全防护策略，制定网络安全建设整改方案
根据网络安全建设整改方案，实施安全建设工程;
开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

注意：全国各地区政策不一样，以实际情况为准。

等级测评阶段：

网络安全等级保护测评过程分为4个基本活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

监督检查阶段：

每年至少开展一次安全检查，涉及相关行业的可以会同其行业主管部门开展安全检查。必要时，机关可以委托社会力量提供技术支持。

以上都是摘自时代新威官网，里面等保干货非常多，解释更加规范、准确。

⑷ 网络安全方面考什么证书比较有价值

国内官方没有安全方面的专门认证，只有一些沾边的。比如最基础的，国家计算机等级考试，网络工程师。另外，某些反病毒公司将自己内部的工作人员称为安全工程师，比如金山互联网安全工程师，360安全工程师等，但没有对外推出认证，也没有权威性。
国外的最权威最有价值的认证当属(isc)2的cissp，国际注册信息系统安全专家，获取难度较大。另外思科的ccie，思科认证互联网专家也可以考虑。

⑸ 信息安全等级保护测评师（中级）考试问题急！

中级等级测评师:熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。 中级等级测评师考试采用笔试加面试的方式，满分100分,笔试和面试成绩各占50分，合格分数线为60分；笔试时间为120分钟，面试时间为15分钟。评估中心组织专家对参加中级等级测评师考试的考生进行面试。参加面试人员需要介绍本人参加过的系统测评项目的情况及承担的主要工作（5分钟），专家通过质询及评审相关材料对面试人员的能力进行考评。（评审相关材料主要包括测评指导书和等级测评报告，等级测评机构派专人将面试人员负责编写的测评指导书和测评报告送达面试现场，面试结束后收回。） 分享下最新官方出的教材供参考: 提取码:zx2p 希望能帮助到您。

⑹ 求专业的网络安全等级保护测评机构介绍有没有好的建议

目前网络安全等级保护测评机构在全国数量并不是很多，仅有211家，其中我就对1家印象尤其深刻，来自北京等保测评机构，时代新威。

原因有三点：1、最近由时代新威组织发布了国际上第一本关于网络安全等级保护制度的英文书籍《中国网络安全等级保护制度理解与实施》英文版，这本书系统性地分析了中国的网络安全等级保护工作，解读网络安全相关法律法规，梳理网络安全等级保护工作的有关政策、标准，并对等级保护具体实施环节进行了详细说明，旨在为华外资企业、一带一路沿线国家有关企业，及时响应中国网络安全政策，开展网络安全等级保护工作提供借鉴。真的是为国争光！

2、时代新威自主研发了我国唯一的“CISP-A国家注册信息系统审计师”认证课程。

3、这家资质非常硬，2003年成立，目前是公安部批准的网络安全等级保护测评机构（证书编号：DJCP2019110192），也是全国信息安全标准化技术委员会委员单位、国际网络安全标准化技术委员会ISO/IEC JTC1/SC27专家成员单位。

总之时代新威作为等级保护安全建设服务机构，充分参与了我国网络安全等级保护制度的建立和实施，深入研究和掌握风险管理理论、等级保护理论、信息安全管理体系理论、三道防线理论，并不断将这些理论应用于等级保护、IT审计服务、网络安全咨询服务的实践中，在教育、金融、能源、电信等关键信息基础设施领域有丰富的实践经验。

⑺ 请问信息安全等级测评师 初级容易过吗，公安部组织的考试，考过的进来交流下经验！

中级分为笔试和面试两部分的内容，各占50分。
笔试的题型有判断，单选、多选、简答几种，简答基本有2个书上可以找到答案的，一个综合发散题目。
没有题库的，考试内容不许外泄。
面试分数好的话，笔试一般都能过！

⑻ 等级保护测评流程

网络安全等级保护备案办理流程：

一步：定级;（定级是等级保护的首要环节）

二步：备案；（备案是等级保护的核心）

三步：建设整改；（建设整改是等级保护工作落实的关键）

四步：等级测评；（等级测评是评价安全保护状况的方法）

五步：监督检查。（监督检查是保护能力不断提高的保障）

网络安全等级保护备案分五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例

⑼ 网络安全测评师证怎么考

安全评价师采用网络报名方式：
报考者登录中国安全生产协会网站，根据自身情况对照报名条件要求进行网上报名。
报名时间：
安全评价师考试报名一般于当年9月开始，考生可在规定时间内登陆官方指定网站进行报名。
报名条件：
按照《安全评价师国家职业标准(试行)》的要求，安全评价师职业资格培训鉴定报名条件如下：

1.基本文化程度：大学专科毕业
2.三级安全评价师(具备以下条件之一者)
⑴取得安全工程类专业大学专科学历证书，从事安全生产相关工作5年以上。
⑵取得其他专业大学专科学历证书，从事安全生产相关工作5年以上，经三级安全评价师职业培训达规定标准学时数，并取得结业证书。
⑶取得安全工程类专业大学本科学历证书，从事安全生产相关工作3年以上。
⑷取得其他专业本科学历证书，从事安全生产相关工作3年以上，经三级安全评价师职业培训达规定标准学时数，并取得结业证书。
3.二级安全评价师(具备以下条件之一者)
⑴连续从事安全生产相关工作13年以上。
⑵取得三级安全评价师职业资格证书后，连续从事本职业工作5年以上。
⑶取得三级安全评价师职业资格证书后，连续从事本职业工作4年以上，经二级安全评价师职业培训达规定标准学时数，并取得结业证书。
⑷取得安全工程类专业大学本科学历证书后，连续从事本职业工作5年以上，或取得其他专业大学本科学历证书，连续从事本职业工作7年以上，经二级安全评价师职业培训达规定标准学时数，并取得结业证书。
⑸取得硕士研究生以上学历证书后，连续从事本职业工作2年以上，经二级安全评价师职业培训达规定标准学时数，并取得结业证书。
4.一级安全评价师(具备以下条件之一者)
⑴连续从事安全生产相关工作19年以上。
⑵取得二级安全评价师职业资格证书后，连续从事本职业工作4年以上。

⑶取得二级安全评价师职业资格证书后，连续从事本职业工作3年以上，经一级安全评价师职业培训达规定标准学时数，并取得结业证书。
⑷取得硕士研究生以上学历证书，从事安全生产相关工作10年以上，经一级安全评价师职业培训达规定标准学时数，并取得结业证书。
5.已经取得《安全评价师职业资格证书》人员只能按照升级条件的要求参加鉴定，不能越级参加鉴定。
考试科目：
《理论知识》、《专业能力》、《理论知识》、《专业能力》、《综合评审》。
考试方式：
考试形式为笔试、闭卷形式。
考试题型：理论知识为客观题，题型包括单项选择题和多项选择题；专业能力为主观题，题型包括情景分析题、案例题和综合应用题；综合评审为主观题，题型为命题写作。
成绩查询：
根据往年情况安全评价师考试成绩一般会在考后三个月公布。成绩查询方式一般为网上查询。
合格标准：
往年安全评价师资格全国统一考试合格分数线为60分(满分100分)。

⑽ 信息安全等级测评师有没考过的过来人说下。

等级保护测评师分为初、中、高三个级别，不对社会开放，只对企业开放，一个企业要具备等级保护测评资质，需要具备一定数量的等级保护测评师，并且对初、中、高级的比例有要求。

这个证书对企业比较有用，人一旦离开企业，这个证书可能就失效了，这个证书虽然不能作为个人能力的体现，但可以作为国内比较权威的信息安全领域的证明，对个人的发展还是是很有用处的。

简单的说，等级保护测评师不是谁都能考的，即使在等级保护测评机构内，名额都有限制的，在信息安全领域还是有一定权威性的。但是一旦离开了企业，这个证书可能就没用了，唯一可以证明你在等级保护领域有相当的工作经验和背景。

信息安全等级测评师具体能力要求如下：

一、初级等级测评师：

1、了解信息安全等级保护的相关政策、标准；

2、熟悉信息安全产品分类，了解其功能、特点和操作方法；

3、掌握等级测评方法，能够根据测评指导书客观、准确、完整的获取各项测评证据；

4、掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；

5、能够按照报告编制要求整理测评数据。

二、中级等级测评师：

1、熟悉信息安全等级保护相关政策、法规；

2、正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；

3、掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；

4、具有丰富的项目管理经验，熟悉测评项目的工作流程和质量管理方法，具有较强的组织协调和沟通能力；

5、能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；

6、具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性，具备较强的文字表达能力；

7、了解等级保护各个工作环节的相关要求，能够针对测评中发现的问题，提出合理化的整改建议。

三、高级等级测评师：

1、熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；

2、对信息安全等级保护标准体系及主要标准有较为深入的理解；

3、具有信息安全理论研究的技术、时间经验和研究创新能力；

4、具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力；

5、熟悉等级保护的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。

以上内容参考：网络-等级测评师