在跟很多客户交流的过程中,不少客户都会提出一个问题:网络安全怎样建设才是安全的?这个问题其实很难回答,网络安全是动态的,攻击的手段日新月异,防护的措施也随之升级,网络安全需要系统性的建设,需要持续投入、长期投入。那么问题来了,既然网络安全的建设没有尽头,那起点是什么呢?答案呼之欲出。
等级保护从安全技术、安全管理两大方面为网络运营者提供了安全建设指导,为不同规模的客户设置了最低的安全基线。安全建设的起点就是等保合规。而福建等保测评五流程是什么呢?
福建等保测评五流程
1、定级
在定级的实施过程中,主要参考两个维度:S业务信息安全等级、A系统服务安全等级。根据对不同客体的侵害程度,划分为1-5级。S、A分别进行定级,采用高不就低的原则(S3A2、S2A3都是等保三级)。还有一个参数G:通用安全服务等级。
在实际的操作过程中,由于对国家、社会等客体的侵害程度定义较为困难,因此一般遵守行业要求或者同行业、同规模客户的定级情况进行定级。
等保二级为自主定级,等保三级在进行初步定级以后还需要组织专家评审、主管部门审核,其中专家评审组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,信息安全专家一般从本地网安专家库中选择。
2、备案
根据《信息安全等级保护备案实施细则(公信安[2007]1360号)》:
1)地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。
2)隶属于省级的备案单位,其跨地(市) 联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。
3)隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。
4)隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
5)跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
整体流程完成后,公安机关会颁发备案证,部分地方会在通过等保测评后才会颁发备案证。
3、整改建设
等级保护建设可以参考安全厂商建议进行安全建设,或者参考测评公司预测评整改报告进行安全建设。
等保二级推荐产品:防火墙、日志审计、堡垒机、主机杀毒。
等保三级推荐产品:防火墙(支持防病毒)、上网行为管理、日志审计、堡垒机、数据库审计、主机杀毒、漏洞扫描、态势感知。
4、测评
测评机构可以根据国家网络安全等级保护工作协调小组办公室推荐名单,根据《信息安全等级保护测评机构异地备案实施细则》要求,等级保护测评机构的工作应在推荐区域内开展,如果在推荐地以外地区开展等级测评项目的,应到测评地办理备案手续。(本省的机构的测评由本省测评机构开展)
5监督检查
由公安部门牵头开展检查。
福建等保测评五流程介绍完毕。欢迎收藏点赞评论。
1378
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
