等級(jí)保護(hù)測(cè)評(píng)二級(jí)和三級(jí)信息系統(tǒng)多長(zhǎng)時(shí)間測(cè)評(píng)一次？

    網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0測(cè)評(píng)，大家都知道信息系統(tǒng)三級(jí)每年測(cè)評(píng)一次，那么二級(jí)信息系統(tǒng)多長(zhǎng)時(shí)間測(cè)評(píng)一次呢？

很多人對(duì)這塊知識(shí)點(diǎn)很模糊，包括現(xiàn)有的部分測(cè)評(píng)機(jī)構(gòu)，很多測(cè)評(píng)機(jī)構(gòu)銷(xiāo)售在跟客戶交流的時(shí)候，都會(huì)說(shuō)三級(jí)系統(tǒng)每年測(cè)評(píng)一次，二級(jí)系統(tǒng)兩年測(cè)評(píng)一次，客戶就更不清楚這一塊知識(shí)點(diǎn)了，其實(shí)很多銷(xiāo)售也模模糊糊，其實(shí)二級(jí)信息系統(tǒng)公安部沒(méi)有明確必須要做等級(jí)保護(hù)測(cè)評(píng)，根據(jù)標(biāo)準(zhǔn)公安部只規(guī)定二級(jí)信息系統(tǒng)已運(yùn)營(yíng)（運(yùn)行）和新建第二級(jí)以上信息系統(tǒng)在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

具體相關(guān)要求：

第十四條 信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。 

信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 

經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 

第十五條 已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 

新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 

隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。

關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)漏掃和滲透相關(guān)規(guī)定

根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 》7.2.2.4 工具測(cè)試 相關(guān)規(guī)定：

輸入：測(cè)評(píng)指導(dǎo)書(shū)，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。任務(wù)描述： 

a) 根據(jù)測(cè)評(píng)指導(dǎo)書(shū)，利用技術(shù)工具對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等。

b) 備份測(cè)試結(jié)果。

下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求

一級(jí)：滿足GB/T22239-2008中的一級(jí)要求。

二級(jí)：滿足GB/T22239-2008中的二級(jí)要求，針對(duì)主機(jī)、服務(wù)器、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描等。

三級(jí)：滿足GB/T22239-2008中的三級(jí)要求，針對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描，針對(duì)應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析，滲透測(cè)試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。

四級(jí)：滿足GB/T22239-2008中的四級(jí)要求，針對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)行漏洞掃描，針對(duì)應(yīng)用系統(tǒng)完整性和保密性要求進(jìn)行協(xié)議分析，滲透測(cè)試應(yīng)包括基于一般脆弱性的內(nèi)部和外部滲透攻擊。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄，備份的測(cè)試結(jié)果文件。

個(gè)人總結(jié)：

    二級(jí)信息系統(tǒng)在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中至少有一次漏掃，并出具相應(yīng)的漏掃報(bào)告，報(bào)告中不能有高危漏洞；

   三級(jí)信息系統(tǒng)在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中至少有一次漏掃和滲透測(cè)試，并出具相應(yīng)的漏掃報(bào)告和滲透測(cè)試報(bào)告，報(bào)告中皆不能有高危漏洞；

   在測(cè)評(píng)過(guò)程中若客戶不想做漏掃和滲透測(cè)試，客戶需要寫(xiě)一份聲明，聲明內(nèi)容中藥明確客戶放棄本次漏掃和滲透測(cè)評(píng)，有問(wèn)題自己負(fù)責(zé)等條款。