iso27001认证：网络安全等级定级、审核和批准规定，ISO27001信息安全认证办理

1、定级、审核和批准
活动目标：按照国家有关管理规范和定级标准,确定定级对象的安全保护等级,并对定级结果进行评审、审核和审查,保证定级结果的准确性。
参与角色：主管部门,运营、使用单位,网络安全服务机构。
活动输人：行业/领域定级指导意见，等级保护对象总体描述文件,定级对象详细描述文件。
活动描述：
本活动主要包括以下子活动内容：
a)定级对象安全保护等级初步确定
根据国家有关管理规范、行业/领域定级指导意见(若有则作为依据)以及定级方法,运营、使用单位对每个定级对象确定初步的安全保护等级。
b)定级结果评审
运营、使用单位初步确定了安全保护等级后,必要时可以组织网络安全专家和业务专家对初步定级结果的合理性进行评审,并出具专家评审意见。
c) 定级结果审核、批准
运营、使用单位初步确定了安全保护等级后,有明确主管部门的,应将初步定级结果上报行业/领域主管部门或上级主管部门进行审核、批准。行业/领域主管部门或上级主管部门应对初步定级结果的合理性进行审核,出具审核意见。
运营、使用单位应定期自查等级保护对象等级变化情况以及新建系统定级情况,并及时上报主管部门进行审核、批准。
活动输出：定级结果，主管部门审批意见。
2、形成定级报告
活动目标：对定级过程中产生的文档进行整理,形成等级保护对象定级结果报告。
参与角色：主管部门,运营、使用单位。
活动输入：定级对象详细描述文件,定级结果。
活动描述：对等级保护对象的总体描述文档、详细描述文件、定级结果等内容进行整理,形成文件化的定级结果报告。
定级结果报告可以包含以下内容：
a) 单位信息化现状概述;
b) 管理模式;
c) 定级对象列表;
d) 每个定级对象的概述;
e) 每个定级对象的边界;
f) 每个定级对象的设备部署;
g) 每个定级对象支撑的业务应用;
h) 定级对象列表、安全保护等级以及保护要求组合;
i) 其他内容。
活动输出：安全保护等级定级报告。

• 上一篇：ISO/IEC 27001:2022信息安全管理体系认证标准
• 下一篇：网络安全等级保护基本原则，ISO27001信息安全体系认证证