正常来说只要是在运营的系统都需要做等保,无论是内网还是外网,等保常见的系统一般分成五个级别,一级最低,五级最高,不同级别的系统国家的监管程度也不一样,具体如下:
第一级:系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
第二级:系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门
对该信息系统信息安全等级保护工作进行指导。属于指导保护级。
第三级:系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门
对该信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
第四级:系统运营、使用单位应当依据国家有关管理规范和技术标准和业务专门需求进行保护。
国家信息安全监管部门对该信息系统信息安全等级保护工作进行强制监督、检查。
属于强制保护级。
第五级:系统运营、使用单位应当依据国家有关管理规范和技术标准和业务特殊安全需求进行保护。
国家制定专门部门对该信息系统信息安全等级保护工作进行专门的监督、检查。
属于专控保护级。
按照上述所说,二级以上的系统就必须按照国家标准履行等级保护义务了,如果不做等保,出现了网络安全问题就需要承担巨大责任,一级系统不需要做等保,国家没有强制要求。
等保测评步骤分成定级-备案-整改-测评几个环节。
首先定级分成确定定级对象-自主定级-专家评审-主管部门审核-公安审核。简单来说,单位本身要先确定定级对象是什么系统,然后安装国家标准确定系统等级,比如是二级还是三级,然后找三位专家对系统定级进行评审,如果是有主管部门需要主管部门进行审核。
备案,需要整理一系列的相关文档,如定级备案表、系统拓扑描述、专家评审、安全设备、安全组织及管理机构、实施方案等,送到网监进行备份。
整改,需要针对物理机房、安全设备、网络设备、服务器、数据库、中间件、信息系统等存在的问题或者缺少的设备进行相应整改,满足测评要求。
测评,对信息系统及上述的相关组件进行测评,如果满足要求可直接出具报告,如果存在问题,需要进行整改后再进行测评,测评结果达到70分以上,即可满足要求。
等级保护制度建设
以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。
工作内容
制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。
测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。
等级保护差距分析
按照等级保护实施要求,信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。
差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。
工作内容
差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为:
1、技术差距检测:
(1)物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
(2)网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。
(3)主机安全:评估信息系统的主机系统安全保障情况。主要包含:身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。
(4)应用安全:对信息系统进行应用安全符合性调查。主要包含:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。
(5)数据安全:评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。
2、管理差距检测:
(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理:评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
(4)系统建设管理:评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理:评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
3、等级保护差距分析:
基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。
6885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
