根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別為:系統定級、系統備案、安全建設/整改、等級測評、主管/監管單位定期開展監督檢查。
核心思想在于建立“可信、可控、可管”的安全防護體系,使得系統能夠按照預期運行,免受信息安全攻擊和破壞。小編會給您帶來詳細的測評準備和實施流程介紹。
一、等級保護工作的步驟
1.網站系統定級
根據等級保護相關管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對于關鍵信息基礎設施,“定級原則上不低于三級”,且第三級及以上信息系統每年或每半年就要進行一次測評。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
2.網站系統備案
根據《網絡安全法》規定:
①已運營(運行)的第二級以上信息系統,應當在安全保護等級確定后30日內(等保2.0相關標準已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦備案手續。
②新建第二級以上信息系統,應當在投入運行后30日內(等保2.0相關標準已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦備案手續。
③隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦備案手續。
④跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
企業最終確定網站的級別以后,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料:( 一 ) 系統拓撲結構及說明;( 二 ) 系統安全組織機構和管理制度;( 三 ) 系統安全保護設施設計實施方案或者改建實施方案;( 四 ) 系統使用的信息安全產品清單及其認證、銷售許可證明;( 五 ) 測評后符合系統安全保護等級的技術檢測評估報告;( 六 ) 信息系統安全保護等級專家評審意見;( 七 ) 主管部門審核批準信息系統安全保護等級的意見。
3.網站系統安全建設(整改)
等級保護整改是等保建設的其中一個環節,指按照等級保護建設要求,對信息和信息系統進行的網絡安全升級,包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力,讓企業可以成功通過等級測評。
等級保護整改沒有什么資質要求,只要公司可以按照等級保護要求來進行相關網絡安全建設,由誰來實施,是沒有要求的。但由于目前企業網絡安全人才緊缺,企業很多時候都需要尋找專業的網絡安全服務公司來進行整改。
整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,對安全管理現狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要是指企業部署和購買能夠滿足等保要求的產品,比如網頁防篡改、流量監測、網絡入侵監測產品等。
4.網站系統等級測評
等級測評指經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。物聯網企業等級測評需要尋找合適的測評機構來進行測評,測評機構至少需要具備《信息安全等級測評推薦證書》。物聯網企業可以登錄中國網絡安全等級保護網查看國家推薦的有資質的測評機構名單。
測評機構收費方面,具體的服務費用會因為省市不同、測評項目不同、行業不同等而有所差異。但一般來說,二級系統測評費用4萬元起步,三級系統測評費用7萬元起步。
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
5.監督檢查
企業要接受公安機關不定期的監督和檢查,對公安機關提出的問題予以改進。
信息系統安全等級保護備案證明
二、等級測評的具體流程
等級測評階段又分為以下內容:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動,整改階段、驗收測評階段。
1.測評準備活動階段
簽訂《合作合同》與《保密協議》
首先,被測評單位在選定測評機構后,雙方需要先簽訂《測評服務合同》,合同中對項目范圍(系統數量)、項目內容(差距測評、驗收測評、協助整改)、項目周期(什么時間進場、項目計劃做多長時間)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內容逐一進行約定。
簽訂《測評服務合同》的同時,測評機構應簽署《保密協議》,約定測評機構在測評過程中的保密責任。
(1)項目啟動會
在雙方簽完委托測評合同之后,雙方即可約定召開項目啟動會時間。項目啟動會的目的,主要是由甲方領導對公司內部涉及的部門進行動員、提請各相關部門重視、協調內部資源、介紹測評方項目實施人員、計劃安排等內容,為整個等級測評項目的實施做基本準備。
(2)系統情況調研
啟動會后,測評方開展調研,通過填寫《信息系統基本情況調查表》,掌握被測系統的詳細情況,為編制測評方案做好準備。測評準備活動是開展等級測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分,直接關系到后續工作能否順利開展。一個二級系統的測評準備工作一般需要1天半,三級系統的準備工作一般需要2天左右完成。
2.測評方案編制階段
該階段的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等,并根據需要重用或開發測評實施手冊,形成測評方案。方案編制活動為現場測評提供最基本的文檔依據和指導方案。一個二級系統的方案編制工作一般需要2天左右完成。
3.現場測評階段
現場測評活動是開展等級測評工作的核心活動,包括技術測評和管理測評。其中技術測評包括: 網絡安全測評、管理安全測評、物理安全測評、應用安全測評、主機安全測評五個方面。
4.分析與報告編制階段
此階段主要任務是根據現場測評結果,通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法,找出整個系統的安全保護現狀與相應等級的保護要求之間的差距,并分析這些差距導致被測系統面臨的風險,從而給出等級測評結論,形成測評報告文本。一個二級系統的分析和報告編制工作一般需要3-4天左右完成。
此階段工作不一定需要在客戶現場完成。《測評報告》的模板是由公安機關統一制定的。
此階段的輸出物為《某系統等級測評報告》、《某系統整改建議》。
5.整改階段
主要根據測評機構出具的差距測評報告和整改建議進行整改,此階段主要由備案單位實施,測評機構協助,客戶可以根據自身的實際情況,把整改分為短期、中期、長期。
6.驗收測評階段
測評流程與之前的流程相同,主要是檢查整改的效果。
綜上,一個二級系統完整的測評一次,在客戶方充分配合、測評方派3名測評師的情況下,大致需要四周左右。如果有多個系統同時測評,會存在部分重復工作,具體情況需要具體分析。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
