等級(jí)保護(hù)需要做哪些工作呢�����?
一般來說��,等級(jí)保護(hù)工作包含定級(jí)、備案���、安全建設(shè)��、等級(jí)測評(píng)�、監(jiān)督檢查五個(gè)環(huán)節(jié)��,下面依照等保2.0標(biāo)準(zhǔn)���,對(duì)三級(jí)等保辦理流程做詳細(xì)解讀:
1��、系統(tǒng)定級(jí)
等保辦理的第一步是確定企業(yè)信息系統(tǒng)的安全保護(hù)等級(jí)���。根據(jù)等保2.0定級(jí)指南���,云計(jì)算、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)���、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源等系統(tǒng)屬于強(qiáng)制定級(jí)備案的范疇���。其他團(tuán)體,比如公益組織和中小私營企業(yè)���,原則上也要進(jìn)行定級(jí)備案�。
同時(shí)���,根據(jù)相關(guān)規(guī)定��,定級(jí)對(duì)象具有以下三大基本特征:
①具有確定的主要安全責(zé)任主體�;
②承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用����;
③包含相互關(guān)聯(lián)的多個(gè)資源�����。
如果企業(yè)的系統(tǒng)有以上特征����,那么就算系統(tǒng)再小��,也需要進(jìn)行定級(jí)備案�。
根據(jù)等級(jí)保護(hù)相關(guān)管理文件�����,等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)一共分五個(gè)級(jí)別�����,從一到五級(jí)別逐漸升高�。等級(jí)保護(hù)對(duì)象的級(jí)別由兩個(gè)定級(jí)要素決定:①受侵害的客體;②對(duì)客體的侵害程度����。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施����,“定級(jí)原則上不低于三級(jí)”���,且第三級(jí)及以上信息系統(tǒng)每年或每半年就要進(jìn)行一次測評(píng)�����。
定級(jí)流程:確定定級(jí)對(duì)象→初步確定等級(jí)→專家評(píng)審→主管部門審批→機(jī)構(gòu)備案審查→最終確定的級(jí)別����。
2�����、系統(tǒng)備案
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定:
①已運(yùn)營(運(yùn)行)的第二級(jí)以上信息系統(tǒng)����,應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時(shí)限修改為10日內(nèi)),由其運(yùn)營���、使用單位到所在地設(shè)區(qū)的市級(jí)以上機(jī)關(guān)辦理備案手續(xù)����。
②新建第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)(等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時(shí)限修改為10日內(nèi))��,由其運(yùn)營�、使用單位到所在地設(shè)區(qū)的市級(jí)以上機(jī)關(guān)辦理備案手續(xù)。
③隸屬于中央的在京單位�����,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)����,由主管部門辦理備案手續(xù)。
④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行�、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上機(jī)關(guān)備案�����。
3�、安全建設(shè)(整改)
等級(jí)保護(hù)整改是等保建設(shè)的其中一個(gè)環(huán)節(jié)����,指按照等級(jí)保護(hù)建設(shè)要求,對(duì)信息和信息系統(tǒng)進(jìn)行的網(wǎng)絡(luò)安全升級(jí)�,包括技術(shù)層面整改和管理層面整改����。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護(hù)能力���,讓企業(yè)可以成功通過等級(jí)測評(píng)����。
整改主要分為管理整改和技術(shù)整改���。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責(zé)任部門�,落實(shí)安全崗位和人員�,對(duì)安全管理現(xiàn)狀進(jìn)行分析,確定安全管理策略��,制定安全管理制度等����。其中,安全管理策略和制度又包括人員安全管理事件處置�、應(yīng)急響應(yīng)、日常運(yùn)行維護(hù)設(shè)備�����、介質(zhì)管理安全監(jiān)測等。
技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品���,比如網(wǎng)頁防篡改�����、流量監(jiān)測���、網(wǎng)絡(luò)入侵監(jiān)測產(chǎn)品等。
4��、等級(jí)測評(píng)
等級(jí)測評(píng)指經(jīng)認(rèn)證的具有資質(zhì)的測評(píng)機(jī)構(gòu)��,依據(jù)國家信息安全等級(jí)保護(hù)規(guī)范規(guī)定��,受有關(guān)單位委托��,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。
根據(jù)規(guī)定�,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的測試應(yīng)包括兩個(gè)方面的內(nèi)容:一是安全控制測評(píng)��,主要測評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測評(píng)����,主要測評(píng)分析信息系統(tǒng)的整體安全性。其中�,安全控制測評(píng)是信息系統(tǒng)整體安全測評(píng)的基礎(chǔ)。
二級(jí)及以上的信息系統(tǒng)都要做等級(jí)測評(píng)���,且等級(jí)測評(píng)得分要在70分以上�����,并且沒有高風(fēng)險(xiǎn)項(xiàng)才算通過���。等級(jí)測評(píng)結(jié)束后,測評(píng)機(jī)構(gòu)會(huì)出具測評(píng)報(bào)告�����。企業(yè)需要把測評(píng)報(bào)告提交給機(jī)關(guān)�����,才算真正落實(shí)了等級(jí)保護(hù)工作����。
5��、監(jiān)督檢查
企業(yè)要接受機(jī)關(guān)不定期的監(jiān)督和檢查����,對(duì)機(jī)關(guān)提出的問題予以改進(jìn)���。
如需等保測評(píng)服務(wù)��,可后臺(tái)私信聯(lián)系����。陸陸信息科技整合云安全產(chǎn)品的技術(shù)優(yōu)勢����,聯(lián)合優(yōu)質(zhì)等保咨詢、等保測評(píng)合作資源���,提供等保項(xiàng)目的一站式服務(wù)��,全面覆蓋等保定級(jí)��、備案�����、建設(shè)整改以及測評(píng)階段�,高效通過等保測評(píng)��,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作�����。陸陸科技客戶成功案例涉及各大行業(yè)��,政府機(jī)關(guān)��、教育行業(yè)���、金融行業(yè)�、醫(yī)療行業(yè)及各大企業(yè)���。
等保咨詢熱線:15084670000,15846603791
