等保测评方案—陆陆科技
一、等保相关红头文件
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]66号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《关于印发《信息系统安全等级测评报告模板(试行)》的通知》(公信安[2009]1487号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
二、什么是等保
等保,信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准正式发布,将干2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
三、为什么要做等保
从实施需求角度分析,做等保的原因有以下三个:
1.等级保护是国情所需
《网络安全法》在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,违法者予以警告,拒不整改者予以一万至十万元罚款,对IT相关负责人,予以五千至五万罚款,出现重大事故时,可判三年以下有期徒刑!
2.等级保护是企业所求
随着网络时代的发展,单位信息化依赖程度越来越高,但大多数单位的信息系统建设重应用、轻安全,导致信息安全严重滞后于信息发展,安全隐患和风险越来越高,黑客入侵、业务欺诈、DDoS/CC攻击等网络安全事件层出不穷。
同时,互联网安全环境越来越恶劣,仅中国境内就有约150W灰产从业人员,黑产市场超过1000亿,已形成产业链。
3.等级保护是主管单位监管要求
各主管单位的监管越来越严:
教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知;
交通厅《网络平台道路货运经营服务指南》指出,网络货运运营者应当接入升级货运信息监测系统;
国家卫生健康委员会发布通知,要求互联网医院必须落实三级等保;
四、等保流程
第一步 定级
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。虽然是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级。
第二步 备案
信息系统,要按照单位所在地址的(市级公安网监机关)进行备案。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第三步 系统安全建设
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
第四步 等级测评
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然,理想状态的“符合”基本是不可能达到的。
最后评测中心会给一本等级评测报告,当然整个过程是很繁琐的,需要测评中心和系统的建设安全维护公司一起完成。
