《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 網(wǎng)站信息系統(tǒng)安全等級保護需要哪些步驟?

網(wǎng)站信息系統(tǒng)安全等級保護需要哪些步驟,?

2021-03-16
來源: e安在線

  《信息安全等級保護定級指南》規(guī)定,,只要符合以下三個特征,就必須進行等級保護備案,。如果符合以下三個特征,,并且安全保護等級是二級及以上,還必須通過等級保護測評,,網(wǎng)站也不例外,。等級保護定級對象的三大基本特征:①具有確定的主要安全責任主體;②承載相對獨立的業(yè)務應用,;③包含相互關聯(lián)的多個資源,。

  如果企業(yè)不給網(wǎng)站做等保,會面臨嚴重的后果,。舉個例子,,四川宜賓市翠屏區(qū)教師培訓與教育究中心網(wǎng)站自上線運行以來,始終未進行網(wǎng)絡安全等級保護的定級備案,、等級測評等工作,,未落實網(wǎng)絡安全等級保護制度,未履行網(wǎng)絡安全保護義務,,導致網(wǎng)站存在高危漏洞,,造成網(wǎng)站發(fā)生被黑客攻擊入事件。根據(jù)《網(wǎng)絡安全法》第二十一條和五十九條之規(guī)定,,內(nèi)鄉(xiāng)縣公安局網(wǎng)安大隊依法對四川宜賓市翠屏區(qū)教師培訓與教育研究中心被處一萬元罰款,,法人代表唐某某被處五千元罰款。

  那么,如果網(wǎng)站符合以上三個特征,,且信息系統(tǒng)為二級及以上,,要怎么做等級保護呢?網(wǎng)站信息系統(tǒng)安全等級保護辦理步驟解讀來啦,!

  1.網(wǎng)站系統(tǒng)定級

  根據(jù)等級保護相關管理文件,,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高,。等級保護對象的級別由兩個定級要素決定:①受侵害的客體,;②對客體的侵害程度。對于關鍵信息基礎設施,,“定級原則上不低于三級”,,且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。

  定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別,。

  2.網(wǎng)站系統(tǒng)備案

  根據(jù)《網(wǎng)絡安全法》規(guī)定:

 ?、僖堰\營(運行)的第二級以上信息系統(tǒng),應當在安全保護等級確定后30日內(nèi)(等保2.0相關標準已將備案時限修改為10日內(nèi)),,由其運營,、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

 ?、谛陆ǖ诙壱陨闲畔⑾到y(tǒng),,應當在投入運行后30日內(nèi)(等保2.0相關標準已將備案時限修改為10日內(nèi)),由其運營,、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù),。

  ③隸屬于中央的在京單位,,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),,由主管部門向公安部辦理備案手續(xù)。

 ?、芸缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行,、應用的分支系統(tǒng),應當向當?shù)卦O區(qū)的市級以上公安機關備案,。

  企業(yè)最終確定網(wǎng)站的級別以后,,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,,不同級別的信息系統(tǒng)需要的備案材料有所差異,。第三級以上信息系統(tǒng)需提供以下材料:(一)系統(tǒng)拓撲結構及說明;(二)系統(tǒng)安全組織機構和管理制度,;(三)系統(tǒng)安全保護設施設計實施方案或者改建實施方案,;(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證,、銷售許可證明;(五)測評后符合系統(tǒng)安全保護等級的技術檢測評估報告,;(六)信息系統(tǒng)安全保護等級專家評審意見,;(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。

  3.網(wǎng)站系統(tǒng)安全建設(整改)

  等級保護整改是等保建設的其中一個環(huán)節(jié),,指按照等級保護建設要求,,對信息和信息系統(tǒng)進行的網(wǎng)絡安全升級,包括技術層面整改和管理層面整改,。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力,,讓企業(yè)可以成功通過等級測評。

  等級保護整改沒有什么資質(zhì)要求,,只要公司可以按照等級保護要求來進行相關網(wǎng)絡安全建設,,由誰來實施,是沒有要求的,。但由于目前企業(yè)網(wǎng)絡安全人才緊缺,,企業(yè)很多時候都需要尋找專業(yè)的網(wǎng)絡安全服務公司來進行整改。

  整改主要分為管理整改和技術整改,。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,,對安全管理現(xiàn)狀進行分析,,確定安全管理策略,制定安全管理制度等,。其中,,安全管理策略和制度又包括人員安全管理事件處置、應急響應,、日常運行維護設備,、介質(zhì)管理安全監(jiān)測等。

  技術整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品,,比如網(wǎng)頁防篡改,、流量監(jiān)測、網(wǎng)絡入侵監(jiān)測產(chǎn)品等,。

  4.網(wǎng)站系統(tǒng)等級測評

  等級測評指經(jīng)公安部認證的具有資質(zhì)的測評機構,,依據(jù)國家信息安全等級保護規(guī)范規(guī)定,受有關單位委托,,按照有關管理規(guī)范和技術標準,,對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。物聯(lián)網(wǎng)企業(yè)等級測評需要尋找合適的測評機構來進行測評,,測評機構至少需要具備《信息安全等級測評推薦證書》,。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡安全等級保護網(wǎng)查看國家推薦的有資質(zhì)的測評機構名單,。

  測評機構收費方面,具體的服務費用會因為省市不同,、測評項目不同,、行業(yè)不同等而有所差異。但一般來說,,二級系統(tǒng)測評費用4萬元起步,,三級系統(tǒng)測評費用7萬元起步。

  根據(jù)規(guī)定,,對信息系統(tǒng)安全等級保護狀況進行的測試應包括兩個方面的內(nèi)容:一是安全控制測評,,主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況;二是系統(tǒng)整體測評,,主要測評分析信息系統(tǒng)的整體安全性,。其中,安全控制測評是信息系統(tǒng)整體安全測評的基礎,。

  5.監(jiān)督檢查

  企業(yè)要接受公安機關不定期的監(jiān)督和檢查,,對公安機關提出的問題予以改進。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。