等保(二)——等保项目流程
目录
等保项目流程
- 测评对象 :信息系统(业务系统)
- 测评点:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
- 测评目的:通过等级保护
- 主要流程:定级,备案,等保测评,建设整改,监督检查
第一阶段:项目启动
整理安全制度文件、培训文件
1、出差计划:
- 项目经理派发任务(项目),对接甲方人员确认任务、材料,业务机房管理人员
- 确认出差时间、出差地点
- 报销制度
- 出行方式:滴滴,动车,大巴/公交
- 住宿(就近原则):身份证等等
- 天气
2、准备项目材料:
- 要一个机房拓扑,资产表(就是设备的账户和密码),机房管理员表
- console线,网线,U盘(不一定能用,但是也得备着)
- 大概问一下对方的机房信息系统用来做什么
- 机房对应的设备手册(在官网里可以查看)
- 厂商售后:一般是400开头。一般需要留联系方式 -- 邮箱、微信号、产品序列号
第二阶段:信息系统资产调研分析
- 收集设备信息,收集系统信息,机房管理人员的表格
- 如果对方没有完善中继的资产表和拓扑图,需要帮助客户画图和补充资产表
- 一定要确认资产表中的各个账户是否能够成功登录(现场登录)
第三阶段:信息系统定级与备案
1、定级
网络运营者应在规划设计阶段确定未来的安全保护等级
当网络功能、服务范围、服务对象和出来的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级
网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核准、公安机关审核的流程进行
等级最终定级由专家决定
- 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
- 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
- 第三级,信息系统受到破坏后,会对公民、法人和其他组织造成特别严重损害,对社会秩序和公共利益造成严重损害或者对国家安全造成损害;
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二级项目,只要上线的时候进行一次等保测评,通过即可(事实上,理论上还是两年一次)
三级项目上线测评后,每年都需要做一次测评
2、备案
网安部拿到一个预备案号,通过测评后才能拿到一个真正的备案号
第四阶段:安全差距分析风险评估
(类似模拟考试)
差距评估:依照测评公司的思路,对设备和环境进行测评,得出差距评估报告,再通过差距评估报告进行安全加固和整改
差距分析并不能影响到最后的现场测评结果,基本第一次测评都是不过的,主要是自测估分。
第五阶段:安全加固与整改辅助
- 只是单纯的安全加固,叫厂商过来解决问题(避免背锅,已经有的业务系统,最好不要自己改配置,避免出现系统运行错误)
- 开启审计功能,更新审计模块,防火墙路由器交换机,主干链路上,设备的端口最好不要自己配置,能叫厂商改就叫厂商改
- 独立承包的项目,要跟机房管理员商量
- 如果设备没有过维保(维修保护时间),尽量叫安全厂商工程师过来操作,我们只需要做一个指导
- 如果过了维保,业主需要付费维修,能叫厂商最好叫厂商(在此之前可以根据差距风险评估,自己先提前做一些加固(如密码策略,日志备份等),不会影响到主干链路的,如果会影响到,尽量不要自己做。旁挂设备,冗余设备就没事。)
第六阶段:安全复查
(二次模拟考,一般碰不到)
第七阶段:现场测评
用定级备案得到的预备案号,请(福建)省内七家测评公司过来做测评
只有具有资质的公司才能做测评,对现场环境做一个详细的评估
三级项目第二年开始都是从现场测评开始
第八阶段:整改回复通过测评
根据测评公司出具的测评报告,如果没有达到70分,那么进行整改直到分数达到70分以上且没有高危项就通过。如果测评直接抵达70分,则直接通过
高危项 --- 一票否决权
通过测评后,会得到一个测评公司出具的纸质测评报告(一般2-3份。一份给企业,一份给公安部,一份自己留底)
第九阶段:项目验收
测评报告最终提交给网安部门 --> 拿到最终的结果 --> 备案号 --> 信息系统允许上线