根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),等級(jí)保護(hù)工作總共分五個(gè)階段,分別為:系統(tǒng)定級(jí)、系統(tǒng)備案、安全建設(shè)/整改、等級(jí)測評(píng)、主管/監(jiān)管單位定期開展監(jiān)督檢查。
核心思想在于建立“可信、可控、可管”的安全防護(hù)體系,使得系統(tǒng)能夠按照預(yù)期運(yùn)行,免受信息安全攻擊和破壞。小編會(huì)給您帶來詳細(xì)的測評(píng)準(zhǔn)備和實(shí)施流程介紹。
一、等級(jí)保護(hù)工作的步驟
1.網(wǎng)站系統(tǒng)定級(jí)
根據(jù)等級(jí)保護(hù)相關(guān)管理文件,等級(jí)保護(hù)對象的安全保護(hù)等級(jí)一共分五個(gè)級(jí)別,從一到五級(jí)別逐漸升高。等級(jí)保護(hù)對象的級(jí)別由兩個(gè)定級(jí)要素決定:①受侵害的客體;②對客體的侵害程度。對于關(guān)鍵信息基礎(chǔ)設(shè)施,“定級(jí)原則上不低于三級(jí)”,且第三級(jí)及以上信息系統(tǒng)每年或每半年就要進(jìn)行一次測評(píng)。
定級(jí)流程:確定定級(jí)對象→初步確定等級(jí)→專家評(píng)審→主管部門審批→公安機(jī)構(gòu)備案審查→最終確定的級(jí)別。
2.網(wǎng)站系統(tǒng)備案
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定:
①已運(yùn)營(運(yùn)行)的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時(shí)限修改為10日內(nèi)),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦備案手續(xù)。
②新建第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時(shí)限修改為10日內(nèi)),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦備案手續(xù)。
③隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng),由主管部門向公安部辦備案手續(xù)。
④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。
企業(yè)最終確定網(wǎng)站的級(jí)別以后,就可以到公安機(jī)關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級(jí)保護(hù)備案表》,不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。第三級(jí)以上信息系統(tǒng)需提供以下材料:( 一 ) 系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;( 二 ) 系統(tǒng)安全組織機(jī)構(gòu)和管理制度;( 三 ) 系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;( 四 ) 系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;( 五 ) 測評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測評(píng)估報(bào)告;( 六 ) 信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見;( 七 ) 主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。
3.網(wǎng)站系統(tǒng)安全建設(shè)(整改)
等級(jí)保護(hù)整改是等保建設(shè)的其中一個(gè)環(huán)節(jié),指按照等級(jí)保護(hù)建設(shè)要求,對信息和信息系統(tǒng)進(jìn)行的網(wǎng)絡(luò)安全升級(jí),包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護(hù)能力,讓企業(yè)可以成功通過等級(jí)測評(píng)。
等級(jí)保護(hù)整改沒有什么資質(zhì)要求,只要公司可以按照等級(jí)保護(hù)要求來進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè),由誰來實(shí)施,是沒有要求的。但由于目前企業(yè)網(wǎng)絡(luò)安全人才緊缺,企業(yè)很多時(shí)候都需要尋找專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司來進(jìn)行整改。
整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責(zé)任部門,落實(shí)安全崗位和人員,對安全管理現(xiàn)狀進(jìn)行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應(yīng)急響應(yīng)、日常運(yùn)行維護(hù)設(shè)備、介質(zhì)管理安全監(jiān)測等。
技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品,比如網(wǎng)頁防篡改、流量監(jiān)測、網(wǎng)絡(luò)入侵監(jiān)測產(chǎn)品等。
4.網(wǎng)站系統(tǒng)等級(jí)測評(píng)
等級(jí)測評(píng)指經(jīng)公安部認(rèn)證的具有資質(zhì)的測評(píng)機(jī)構(gòu),依據(jù)國家信息安全等級(jí)保護(hù)規(guī)范規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。物聯(lián)網(wǎng)企業(yè)等級(jí)測評(píng)需要尋找合適的測評(píng)機(jī)構(gòu)來進(jìn)行測評(píng),測評(píng)機(jī)構(gòu)至少需要具備《信息安全等級(jí)測評(píng)推薦證書》。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)查看國家推薦的有資質(zhì)的測評(píng)機(jī)構(gòu)名單。
測評(píng)機(jī)構(gòu)收費(fèi)方面,具體的服務(wù)費(fèi)用會(huì)因?yàn)槭∈胁煌y評(píng)項(xiàng)目不同、行業(yè)不同等而有所差異。但一般來說,二級(jí)系統(tǒng)測評(píng)費(fèi)用4萬元起步,三級(jí)系統(tǒng)測評(píng)費(fèi)用7萬元起步。
根據(jù)規(guī)定,對信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的測試應(yīng)包括兩個(gè)方面的內(nèi)容:一是安全控制測評(píng),主要測評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測評(píng),主要測評(píng)分析信息系統(tǒng)的整體安全性。其中,安全控制測評(píng)是信息系統(tǒng)整體安全測評(píng)的基礎(chǔ)。
5.監(jiān)督檢查
企業(yè)要接受公安機(jī)關(guān)不定期的監(jiān)督和檢查,對公安機(jī)關(guān)提出的問題予以改進(jìn)。
信息系統(tǒng)安全等級(jí)保護(hù)備案證明
二、等級(jí)測評(píng)的具體流程
等級(jí)測評(píng)階段又分為以下內(nèi)容:測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng),整改階段、驗(yàn)收測評(píng)階段。
1.測評(píng)準(zhǔn)備活動(dòng)階段
簽訂《合作合同》與《保密協(xié)議》
首先,被測評(píng)單位在選定測評(píng)機(jī)構(gòu)后,雙方需要先簽訂《測評(píng)服務(wù)合同》,合同中對項(xiàng)目范圍(系統(tǒng)數(shù)量)、項(xiàng)目內(nèi)容(差距測評(píng)、驗(yàn)收測評(píng)、協(xié)助整改)、項(xiàng)目周期(什么時(shí)間進(jìn)場、項(xiàng)目計(jì)劃做多長時(shí)間)、項(xiàng)目實(shí)施方案(測評(píng)工作的步驟)、項(xiàng)目人員(項(xiàng)目實(shí)施團(tuán)隊(duì)人員)、項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)、付款方式、違約條款等等內(nèi)容逐一進(jìn)行約定。
簽訂《測評(píng)服務(wù)合同》的同時(shí),測評(píng)機(jī)構(gòu)應(yīng)簽署《保密協(xié)議》,約定測評(píng)機(jī)構(gòu)在測評(píng)過程中的保密責(zé)任。
(1)項(xiàng)目啟動(dòng)會(huì)
在雙方簽完委托測評(píng)合同之后,雙方即可約定召開項(xiàng)目啟動(dòng)會(huì)時(shí)間。項(xiàng)目啟動(dòng)會(huì)的目的,主要是由甲方領(lǐng)導(dǎo)對公司內(nèi)部涉及的部門進(jìn)行動(dòng)員、提請各相關(guān)部門重視、協(xié)調(diào)內(nèi)部資源、介紹測評(píng)方項(xiàng)目實(shí)施人員、計(jì)劃安排等內(nèi)容,為整個(gè)等級(jí)測評(píng)項(xiàng)目的實(shí)施做基本準(zhǔn)備。
(2)系統(tǒng)情況調(diào)研
啟動(dòng)會(huì)后,測評(píng)方開展調(diào)研,通過填寫《信息系統(tǒng)基本情況調(diào)查表》,掌握被測系統(tǒng)的詳細(xì)情況,為編制測評(píng)方案做好準(zhǔn)備。測評(píng)準(zhǔn)備活動(dòng)是開展等級(jí)測評(píng)工作的前提和基礎(chǔ),是整個(gè)等級(jí)測評(píng)過程有效性的保證。測評(píng)準(zhǔn)備工作是否充分,直接關(guān)系到后續(xù)工作能否順利開展。一個(gè)二級(jí)系統(tǒng)的測評(píng)準(zhǔn)備工作一般需要1天半,三級(jí)系統(tǒng)的準(zhǔn)備工作一般需要2天左右完成。
2.測評(píng)方案編制階段
該階段的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評(píng)對象、測評(píng)指標(biāo)及測評(píng)內(nèi)容等,并根據(jù)需要重用或開發(fā)測評(píng)實(shí)施手冊,形成測評(píng)方案。方案編制活動(dòng)為現(xiàn)場測評(píng)提供最基本的文檔依據(jù)和指導(dǎo)方案。一個(gè)二級(jí)系統(tǒng)的方案編制工作一般需要2天左右完成。
3.現(xiàn)場測評(píng)階段
現(xiàn)場測評(píng)活動(dòng)是開展等級(jí)測評(píng)工作的核心活動(dòng),包括技術(shù)測評(píng)和管理測評(píng)。其中技術(shù)測評(píng)包括: 網(wǎng)絡(luò)安全測評(píng)、管理安全測評(píng)、物理安全測評(píng)、應(yīng)用安全測評(píng)、主機(jī)安全測評(píng)五個(gè)方面。
4.分析與報(bào)告編制階段
此階段主要任務(wù)是根據(jù)現(xiàn)場測評(píng)結(jié)果,通過單項(xiàng)測評(píng)結(jié)果判定、單元測評(píng)結(jié)果判定、整體測評(píng)和風(fēng)險(xiǎn)分析等方法,找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距,并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險(xiǎn),從而給出等級(jí)測評(píng)結(jié)論,形成測評(píng)報(bào)告文本。一個(gè)二級(jí)系統(tǒng)的分析和報(bào)告編制工作一般需要3-4天左右完成。
此階段工作不一定需要在客戶現(xiàn)場完成。《測評(píng)報(bào)告》的模板是由公安機(jī)關(guān)統(tǒng)一制定的。
此階段的輸出物為《某系統(tǒng)等級(jí)測評(píng)報(bào)告》、《某系統(tǒng)整改建議》。
5.整改階段
主要根據(jù)測評(píng)機(jī)構(gòu)出具的差距測評(píng)報(bào)告和整改建議進(jìn)行整改,此階段主要由備案單位實(shí)施,測評(píng)機(jī)構(gòu)協(xié)助,客戶可以根據(jù)自身的實(shí)際情況,把整改分為短期、中期、長期。
6.驗(yàn)收測評(píng)階段
測評(píng)流程與之前的流程相同,主要是檢查整改的效果。
綜上,一個(gè)二級(jí)系統(tǒng)完整的測評(píng)一次,在客戶方充分配合、測評(píng)方派3名測評(píng)師的情況下,大致需要四周左右。如果有多個(gè)系統(tǒng)同時(shí)測評(píng),會(huì)存在部分重復(fù)工作,具體情況需要具體分析。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
