前言
这是大白给粉丝盆友们整理的网络安全安全管理阶段第2篇。
喜欢的朋友们,记得给大白点赞支持和收藏一下,关注我,学习黑客技术。
在网络安全体系中,等保测评有着非常重要的作用。通过等保测评,企业可以及时发现单位系统内、外部存在的安全风险和脆弱性,从而降低系统被各种攻击的风险。
本文列举了等保测评过程中常见的问题、等保测评全流程、参考建议等,为相关企业提供合规参考。
等保测评常见问题Q&A
Q
哪些企业和单位应该开展等保工作?
A
根据 GB/T 22239-2019的相关规定:
5.1等级保护对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
划重点:
(1)中国境内运营的
(2)政府、事业单位、对外提供服务的企业
(3)除信息系统外,还包括:基础网络、云平台、大数据、物联网、工控系统和移动互联也就是说,基本涵盖了企业的对外提供服务的业务系统和产品。
Q
等级保护工作具体步骤流程是什么?
A
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:一是信息系统定级,二是信息系统备案(定级备案),三是系统安全建设,四是信息系统等级测评(测评报告交属地公安机关备案),五是主管单位定期开展监督检查。
Q
等保测评的内容有哪些?
A
通用要求包含:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;**管理要求包含:**安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理。
Q
如何选择等级保护备案所在地?
A
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为,出现网络安全事件后,第一责任单位是谁,谁就是备案主体。
要注意让承建单位或运维单位成为备案主体的错误方式。
大部分情况下,在单位所在地属地(县级及以上)网安进行定级备案。如运维所在地和注册地不一致,一般以运维所在地备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。
Q
信息系统多久测评一次?
A
四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
Q
“等保”与“分保”有什么区别?
A
“等保”与“分保”分别指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。
-
**监管部门不一样:**等级保护由公安部门监管,分级保护由国家保密局监管。
-
**适用对象不一样:**等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。
-
**等级分类不同:**等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。
Q
“等保”与“关保”有什么区别?
A
“等保”与“关保”分别指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。
目前“关保”的基本要求、测评指南、高风险判例等均已基本完成,相关试点工作已启动。
Q
是否系统定级越低越好?
A
**不是。应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”**的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
Q
定级备案了是否就被监管了?
A
没有定级备案并不代表不会被监管。通过自评估达到二级及以上的保护对象,均应尽快组织专家开展定级评审工作,并到属地网安进行备案。
定级备案后监管部门会及时发布针对性的安全预警,并根据情况实地指导网络安全工作,有利于网络运营者提升网络安全风险的应对能力,保障单位的声誉,减少经济损失。
Q
有哪些情况系统定级无需专家评审?
A
信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,无需在进行等级专家评审。
主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。(具体要求建议咨询属地网安)
Q
等保测评的最终结论分哪几种?
A
测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分。
Q
做了等级测评之后
是否会给发合格证书?
A
测评后无合格证书。等级保护采用备案与测评机制而非认证机制,在属地网安备案后可获得《信息系统安全等级保护备案证明》,测评工作完成后会收到具有法律效率的“测评报告(至少要加盖测评机构公章和测评专用章)”。
Q
多长时间能拿到备案证明?
A
全国各省网警管理有所差异,一般提交备案流程后,如资料完备,顺利通过审核后15个工作日即可拿到备案证明。
Q
不同公司的业务系统整合后
是否可以算一个系统?
A
不同公司作为两个独立承担法律的主体单位,必须明确唯一的备案主体,不能算一个系统。
同一单位的业务系统,如确实经过改造,入口、后台、业务关联性、重要程度等符合《GB/T 22240-2020 信息系统安全 网络安全等级保护定级指南》要求可以算作一个系统。
Q
等保测评备案需要提交哪些材料?
A
办理信息系统安全等级保护备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统还需同时提供以下材料:
-
系统拓扑结构及说明;
-
系统安全组织机构和管理制度;
-
系统安全保护设施设计实施方案或者改建实施方案;
-
系统使用的信息安全产品清单及其认证、销售许可证明;
-
测评后符合系统安全保护等级的技术测评评估报告。
Q
如何判定属于移动安全扩展要求?
A
当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。
Q
业务系统在内/专网,还需要做等保吗?
A
**需要。**内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。
Q
系统在云上,还要做等保吗?
A
**要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”**的原则,应承担网络安全责任进行等级保护工作。
是否要通过测评这个需根据系统的重要程度,依据国家标准和相关部门要求来确定。
Q
做完等级测评就没有安全问题了?
A
很多人认为,完成等保测评就万事大吉了。其实,不然。等保测评标准只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但是,安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。
企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,要通过等级保护测评工作开展,以**“一个中心、三重防护”好“三化六防”**等为指导,不断提升网络攻防能力。
Q
等保测评结束后要做什么?
A
打印测评结果报告一式四份,测评机构一份,送检系统所在单位两份,网安一份。
等级测评阶段的具体流程
等级测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
1、 测评准备活动阶段
签订《合作合同》与《保密协议》。
首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(系统数量)、项目内容(差距测评、验收测评、协助整改)、项目周期(什么时间进场、项目计划做多长时间)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等内容逐一进行约定。
签订《测评服务合同》的同时,测评机构应签署《保密协议》,约定测评机构在测评过程中的保密责任。
(1)项目启动会在双方签完委托测评合同之后,双方即可约定召开项目启动会时间。项目启动会的目的,主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容,为整个等级测评项目的实施做基本准备。
(2)系统情况调研启动会后,测评方开展调研,通过填写**《信息系统基本情况调查表》**,掌握被测系统的详细情况,为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。
2、测评方案编制阶段
该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。
3、现场测评阶段
现场测评活动是开展等级测评工作的核心活动,包括技术测评和管理测评。
4.分析与报告编制阶段
此阶段主要任务是根据现场测评结果,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。
5.整改阶段
主要根据测评机构出具的差距测评报告和整改建议进行整改,此阶段主要由备案单位实施,测评机构协助,客户可以根据自身的实际情况,把整改分为短期、中期、长期。
6.验收测评阶段
测评流程与之前的流程相同,主要是检查整改的效果。综上,一个二级系统完整的测评一次,在客户方充分配合、测评方派3名测评师的情况下,大致需要四周左右。如果有多个系统同时测评,会存在部分重复工作,具体情况需要具体分析。
关于等保的合规建议
一、明确落入等级保护的范围
由于等级保护对象及范围的全覆盖性,大部分企业的**内部网站及信息系统,对外的网站、应用程序都会被纳入等级保护的范围。**企业应当盘点自身业务是否涉及运营云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等,并及时将上述系统纳入网络安全等级保护工作范畴。
二、尽快开展等级保护合规工作
我国日益加强对网络安全违法违规活动的执法,2022年公安部组织开展安全监督检查3.5万家次,下发限期整改通知书4.6万份。鉴于网络安全执法的严峻态势,建议相关企业尽快开展等级保护合规工作,建立企业内部管理制度、安全技术措施,设置相应的管理机构和管理人员,开展等保定级、备案、测评、整改等一系列合规工作。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
