让 安 全 更 安 全 目录 CONTENTS 01 竞远安全简介 02 等保政策及法律法规 03 总体流程 04 等保测评工作 0 Part 1 竞远安全简介 2022 网络安全综合服务提供商 广州竞远安全技术股份有限公司：专业的网络安全测评和服务机构 深圳分公司/贵阳分公司 子公司 南方信息安全等级保护服务中心：安全等级保护测评和研究 北京宽广智通信息技术有限公司：通信标准研究 广东省第一家公安认可的 测评机构 广州竞远安全技术股份有限公司，国家高新技术企业，成立于2003年，是一家聚焦于 提供智能网络安全综合服务的专业机构。总部设在广州，在北京、深圳、贵阳等全国26 个城市设有技术及服务队伍，拥有雄厚的安全技术实力和服务优质的专业团队，具有丰富 华南区规模最大 全国排前五的测评机构 连续七年获得全国网络安全 等级保护测评机构先进单位 的等保测评、风险评估、新技术新业务安全评估、工业互联网安全评测、移动应用安全检 测、入网安评、安全监测、安全巡检、渗透测试、安全应急、安全培训等全方位的安全服 务经验。 竞远安全拥有一批年富力强、勇于创新、勇于开拓的专业技术队伍，70%人员拥有 本科及以上学历，拥有博士及副教授3名，拥有CISSP、CISP、CCIE、CISA、PMP、高 华南地区持证测评师最多的 测评机构 级测评师、高级网络工程师、ITSS项目经理等全方位的IT与安全专业人员 ，具有丰富的 理论研究基础和研发实践经验，尤其是信息安全软件、信息通讯技术有较深的研究。技术 研发依托北京邮电大学具有强大的后备研发力量支撑。 等保测评资质及荣誉 国家密码管理局 网络安全等级测评与检测评 估机构服务认证证书 2015-2021年度连续七年 （SC202127130010158） 全国网络安全等级保护测评机构先进单 商用密码应用安全性评估试点机构目录 主要资质证书 主要证书名称 资质编号 技术支撑单位 国家信息安全测评信息安全服务资质 CNITSEC2019SRV-RA-I-102 深圳市网络与信息安全信息安全通报机制技术支撑 单位 工业互联网安全评估评测机构 AII-PGPC-A-044 广东省网络安全应急响应平台技术支撑单位 中国合格评定国家认可委员会检查机构认可证 书（CNAS）资质 CNAS IB0378 公安部网络安全保卫局-国家重大活动网络安全保卫 技术支持单位 中国网络安全服务能力评定单位 CESSCN-2019-RA-B-010 国家信息安全漏洞库支撑单位 信息安全服务资质认证证书 CCRC 风险评估资 质 CCRC-2019ISV-RA-599 教育信息安全等级保护测评中心技术支撑单位 ISO9001认证 0070020Q52788R1M 广东省通信管理局技术支撑单位 ISO27001认证 ISMS20200029 第127届广交会公安机关网络安保优秀技术支撑单 位 ISO20000认证 ITSMS20210022 工信部威胁共享平台支撑单位 Part 2 等保政策及法律法规 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会 生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利 益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 网络安全等级保护 p 等级保护上升为法律 《中华人民共和国网络安全法》第21条规定“国 p 等级保护对象不断拓展 随着云计算、移动互联、大数据、物联网、人 家实行网络安全等级保护制度”，要求“网络运营 工智能等新技术不断涌现，计算机信息系统的概 者应当按照网络安全等级保护制度要求，履行安全 念已经不能涵盖全部，特别是互联网快速发展带 保护义务”；第31条规定“对于国家关键信息基础 来大数据价值的凸显，等保保护对象的外延将不 设施，在网络安全等级保护制度的基础上，实行重 断拓展。 点保护”。 p 等级保护工作内容持续扩展 在定级、备案、建设整改、等级测评和监督检 p 等级保护体系重大升级 主管部门将制定出台一系列政策法规和技术标 查等规定动作基础上，风险评估、安全监测、通报 准，形成运转顺畅的工作机制，在现有体系基础 预警、案事件调查、数据防护、灾难备份、应急处 上，建立完善等级保护政策体系、标准体系、测 置、自主可控、供应链安全、效果评价、综治考核 评体系、技术体系、服务体系、关键技术研究体 等这些与网络安全密切相关的措施都将全部纳入等 系、教育训练体系等。 级保护制度并加以实施。 2022 等级保护政策及发展历程 2022 《网络安全法》 《中华人民共和国网络安全法》由全国人民代表大会常务委员会 于2016年11月7日发布，自2017年6月1日起施行。 网络运营者(是指网络的所有者、管理者和网络服务提供者)主要义务有： p落实等级保护制度 (第二十一条 ) p实施风险评估、安全测评 (第三十八条 ) p制订安全应急预案 (第二十五条） p加强安全教育 （第三十四条） p安全技术措施同步规划、同步建设、同步使用（第三十三条） 第六章 法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由 有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上 十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规 定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络 安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元 以下罚款。 2022 《中华人民共和国刑法》 中华人民共和国刑法修正案（九）—— （2015年8月29日第十二届全国人民代表大会常务委员会第十六次会议通过） 刑法修正案（九）第二百八十六条之一（新增） 第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安 全管理义务，经监管部门通知采取改正措施而拒绝执行，有下列情形之一的，处三 年以下有期徒刑、拘役或者管制，并处或者单处罚金”： （一）致使违法信息大量传播的； （二）致使用户信息泄露，造成严重后果的； （三）致使刑事犯罪证据灭失，严重妨害司法机关依法追究犯罪的； （四）有其他严重情节的。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人 员，依照前款的规定处罚。 2022 相关政策 《公安机关互联网安全监督检查规定》公安部令第151号文　-自2018年11月1日起施行 p 第三章　监督检查程序 第十三条　公安机关开展互联网安全监督检查，可以采取现场监督检查或者远程检测的方式进行。 第十六条　公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞，可以开展远程检测。 第十七条　公安机关开展现场监督检查或者远程检测，可以委托具有相应技术能力的网络安全服务机构提供技术支持。 第十条　公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督 检查：（七）是否履行法律、行政法规规定的网络安全等级保护等义务。 第四章　法律责任 依照 第二十一条 公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位有下列违法行为的，依法予以行政处罚： 《网络安全法》 （一）未制定并落实网络安全管理制度和操作规程，未确定网络安全负责人的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚； 处罚 （二）未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定 予以处罚； …… 第二十二条 公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提 供个人信息，尚不构成犯罪的，依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。 p 第二十七条 互联网服务提供者和联网使用单位违反本规定，构成违反治安管理行为的，依法予以治安管理处罚；构成犯罪的，依法追究刑事责任。 Part 3 总体流程 2022 总体流程 竞远安全-网络安全等级保护测评 l 定级：明确责任主体、自主定级、专家审核、上级主管单位审批； l 备案：定级系统须在上级主管单位及属地公安机关备案； l 建设整改：根据《基本要求》进行安全加固与改进； l 等级测评：邀请具有等级测评资质的测评机构进行安全等级测评； l 监督检查：通过安全检查的方式持续改进系统安全。 等保 流程 竞远安全-网络安全等级保护测评 1、运营使用单位 负责 所属定级对象 的 等级保护建设及备案 2、上级主管单位 负责 下属运营使用单位定级对象 的 监督管理 3、第三方测评机构 负责 运营使用单位定级对象 的 等级测评服务 4、公安机关网安部门 受理 运营使用单位定级对象 的 备案及监督检查 Part 4 等保测评工作 竞远安全-网络安全等级保护测评 竞远安全-网络安全等级保护测评 定级备案： http://ga.sz.gov.cn/“法人业务“ -> “网警业务” -> “网络安全等级保护和信息通报” 我们将安排定级备案专员指导进行定级备案材料的制 作、审核和提交工作。 定级备案所需材料 竞远安全-网络安全等级保护测评