1、系統(tǒng)定級
哈爾濱等保辦理的第一步是確定企業(yè)信息系統(tǒng)的安全保護等級。根據(jù)等保2.0定級指南,云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源等系統(tǒng)屬于強制定級備案的范疇。其他團體,比如公益組織和中小私營企業(yè),原則上也要進行定級備案。
同時,根據(jù)相關(guān)規(guī)定,定級對象具有以下三大基本特征:
①具有確定的主要安全責(zé)任主體;
②承載相對獨立的業(yè)務(wù)應(yīng)用;
③包含相互關(guān)聯(lián)的多個資源。
如果企業(yè)的系統(tǒng)有以上特征,那么就算系統(tǒng)再小,也需要進行定級備案。
根據(jù)等級保護相關(guān)管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對于關(guān)鍵信息基礎(chǔ)設(shè)施,“定級原則上不低于三級”,且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→機構(gòu)備案審查→最終確定的級別。
2、系統(tǒng)備案
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定:
①已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)),由其運營、使用單位到所在地設(shè)區(qū)的市級以上機關(guān)辦理備案手續(xù)。
②新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)),由其運營、使用單位到所在地設(shè)區(qū)的市級以上機關(guān)辦理備案手續(xù)。
③隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門辦理備案手續(xù)。
④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上機關(guān)備案。
3、安全建設(shè)(整改)
哈爾濱等級保護整改是等保建設(shè)的其中一個環(huán)節(jié),指按照等級保護建設(shè)要求,對信息和信息系統(tǒng)進行的網(wǎng)絡(luò)安全升級,包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力,讓企業(yè)可以成功通過等級測評。
整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責(zé)任部門,落實安全崗位和人員,對安全管理現(xiàn)狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應(yīng)急響應(yīng)、日常運行維護設(shè)備、介質(zhì)管理安全監(jiān)測等。
技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品,比如網(wǎng)頁防篡改、流量監(jiān)測、網(wǎng)絡(luò)入侵監(jiān)測產(chǎn)品等。
4、等級測評
等級測評指經(jīng)認證的具有資質(zhì)的測評機構(gòu),依據(jù)國家信息安全等級保護規(guī)范規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。
根據(jù)規(guī)定,對信息系統(tǒng)安全等級保護狀況進行的測試應(yīng)包括兩個方面的內(nèi)容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況;二是系統(tǒng)整體測評,主要測評分析信息系統(tǒng)的整體安全性。其中,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。
二級及以上的信息系統(tǒng)都要做等級測評,且等級測評得分要在70分以上,并且沒有高風(fēng)險項才算通過。等級測評結(jié)束后,測評機構(gòu)會出具測評報告。企業(yè)需要把測評報告提交給機關(guān),才算真正落實了等級保護工作。
5、監(jiān)督檢查
企業(yè)要接受機關(guān)不定期的監(jiān)督和檢查,對機關(guān)提出的問題予以改進。
如需等保評測服務(wù),可后臺私信聯(lián)系。陸陸信息科技整合云安全產(chǎn)品的技術(shù)優(yōu)勢,聯(lián)合優(yōu)質(zhì)等保咨詢、等保評測合作資源,提供等保項目的一站式服務(wù),全面覆蓋等保定級、備案、建設(shè)整改以及測評階段,高效通過等保評測,落實網(wǎng)絡(luò)安全等級保護工作。陸陸科技客戶成功案例涉及各大行業(yè),政府機關(guān)、教育行業(yè)、金融行業(yè)、醫(yī)療行業(yè)及各大企業(yè)。