信息安全等级保护测评机构是做什么的？

1. 信息安全等级保护测评机构是做什么的？

定级系统测评，出具系统合格检测报告。
工作实施流程：

1、定级备案：
测评机构人员协助客户填写备案资料，测评机构人员第一轮审核，测评机构最终审核。审核后客户提交到所属区公安局。
输出：合格的定级备案材料。
2、建设咨询
测评机构组织人员开始调研，提供咨询服务，核心目标：解决《管理制度文档》；附带解决部分明显技术问题；机房可能涉及到提前架设设备，配置策略。
输出：①全套管理制度文档（包含记录文档）②《基础环境调研表》③《漏洞扫描报告》④《渗透测试报告》。
3、初步测评
测评机构组织人员，核心目标解决技术问题。
输出：整改全套：包涵高、中、底危整改记录及其他整改过程记录。
4、整改建设
测评机构执行，测评人员协助完成，出具《差距性分析》或《整改问题汇总》。
①《差距性分析报告》②《整改意见书》（在问题汇总清单后撰写落地解决方案）。
5、复测评
根据整改结果复测达到目标分数。
6、出具测评报告
测评机构执行：复测结束出具合格的《测评报告》。
输出：测评机构出具的测评报告。

2. 信息系统安全等级保护测评流程是什么？

　　信息系统安全等级保护测评准备活动的工作流程：
　　信息系统安全等级保护测评准备活动的目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案打下良好的基础。 
　　信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图：

　　一、项目启动
　　在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。
　　输入：委托测评协议书。
　　任务描述：
　　a) 根据测评双方签订的委托测评协议书和系统规模，测评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
　　b) 测评机构要求测评委托单位提供基本资料，包括：被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有），测评委托单位的信息化建设状况与发展以及联络方式等。
　　输出/产品：项目计划书。
　　二、 信息收集和分析
　　测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。
　　输入：调查表格，被测系统总体描述文件，详细描述文件，安全保护等级定级报告，系统验收报告，安全需求分析报告，安全总体方案，自查或上次等级测评报告（如果有）。
　　任务描述：
　　a) 测评机构收集等级测评需要的各种资料，包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。
　　b) 测评机构将调查表格提交给测评委托单位，督促被测系统相关人员准确填写调查表格。
　　c) 测评机构收回填写完成的调查表格，并分析调查结果，了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。
　　d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多，测评机构应安排现场调查，与被测系统相关人员进行面对面的沟通和了解。
　　输出/产品：填好的调查表格。
　　三、工具和表单准备
　　测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
　　输入：各种与被测系统相关的技术资料。
　　任务描述：
　　a) 测评人员调试本次测评过程中将用到的测评工具，包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
　　b) 测评人员模拟被测系统搭建测评环境。
　　c) 准备和打印表单，主要包括：现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
　　输出/产品：选用的测评工具清单，打印的各类表单。

3. 哪些单位是做等级保护，哪些单位是做分级保护？

概念不同的，等级保护是保护信息系统的安全，免受破坏等，其监管部门是公安部门；分级保护是保密，主要是针对涉密系统，属于保密局管。

4. 信息安全等级保护管理办法的第三章 等级保护的实施与管理

第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：（一） 信息系统安全需求是否发生变化，原定保护等级是否准确；（二） 运营、使用单位安全管理制度、措施的落实情况；（三） 运营、使用单位及其主管部门对信息系统安全状况的检查情况；（四） 系统安全等级测评是否符合要求；（五） 信息安全产品使用是否符合要求；（六） 信息系统安全整改情况；（七） 备案材料与运营、使用单位、信息系统的符合情况；（八） 其他应当进行监督检查的事项。第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：（一） 信息系统备案事项变更情况；（二） 安全组织、人员的变动情况；（三） 信息安全管理制度、措施变更情况；（四） 信息系统运行状况记录；（五） 运营、使用单位及主管部门定期对信息系统安全状况的检查记录；（六） 对信息系统开展等级测评的技术测评报告；（七） 信息安全产品使用的变更情况；（八） 信息安全事件应急预案，信息安全事件应急处置结果报告；（九） 信息系统安全建设、整改结果报告。第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害；（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：（一） 在中华人民共和国境内注册成立（港澳台地区除外）；（二） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三） 从事相关检测评估工作两年以上，无违法记录；（四） 工作人员仅限于中国公民；（五） 法人及主要业务、技术人员无犯罪记录；（六） 使用的技术装备、设施应当符合本办法对信息安全产品的要求；（七） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（八） 对国家安全、社会秩序、公共利益不构成威胁。第二十三条从事信息系统安全等级测评的机构，应当履行下列义务：（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

5. 信息系统的信息安全等级保护的测评是必须的吗？有没有专门的出台了法律法规监管细则规范了这件事？

1、能不能自己测评要看你的等级保护备案时的级别，2级以上都要公安部门和上级主管部门测评的。
2、等保很多要求标准在不断修改中，建议在对自己的信息安全整改过程中，引入有资质的第三方，这样会比较容易些。 二级及以下可以自己测评，也可以不做测评。3级以上必须经过测评。

《信息安全等级保护管理办法》第十四条第一款规定： 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

6. 如何申请 信息安全等级保护检测资质

信息安全等级保护的办理流程：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。
2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。
3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。
4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。
5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。
6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。
7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。
8、整改实施：根据测评结果进行安全要求整改。

7. 我们单位有个自建服务器的网站，是必须要按国家信息系统安全等级保护要求建设吗，是强制必须过等保吗？

没有，有这种说法的，一般是卖产安全保护服务的。可以说是骗子。。

8. 什么是信息安全等级保护，评测标准？？

信息安全等级保护：
是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
测评标准：