二級(jí)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證申請(qǐng)
我國實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,等級(jí)保護(hù)認(rèn)證指企業(yè)按照等級(jí)保護(hù)的建設(shè)標(biāo)準(zhǔn),通過定級(jí)、備案、安全建設(shè)(整改)、等級(jí)測評(píng)、監(jiān)督檢查等環(huán)節(jié),讓企業(yè)的信息系統(tǒng)符合國家安全建設(shè)要求。靈狐科技為各企業(yè)提供二級(jí)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證申請(qǐng)步驟,需要的企業(yè)可收藏:
一、信息系統(tǒng)定級(jí)
信息系統(tǒng)的保護(hù)等級(jí)被分為五個(gè)級(jí)別,五個(gè)級(jí)別的差別如下表所示:
企業(yè)確定自己需要做等級(jí)保護(hù)的信息系統(tǒng)之后,就可以根據(jù)確定定級(jí)對(duì)象→初步確定等級(jí)→專家評(píng)審→主管部門審核→公安機(jī)關(guān)備案審查→最終確定的等級(jí)的定級(jí)流程,對(duì)信息系統(tǒng)進(jìn)行定級(jí)。
二、信息系統(tǒng)備案
定級(jí)完成之后,企業(yè)需要準(zhǔn)備相應(yīng)材料,到公安機(jī)關(guān)進(jìn)行備案。備案材料主要是《信息安全等級(jí)保護(hù)備案表》,不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。
二級(jí)及其以上的信息系統(tǒng)運(yùn)行使用單位或主管部門在備案時(shí)需要提交的資料有:① 信息系統(tǒng)安全定級(jí)報(bào)告紙質(zhì)材料,一式兩份;② 信息系統(tǒng)安全備案表紙質(zhì)材料,一式兩份;③上述備案的電子檔,并制作出光盤提交。
材料提交之后,就可以耐心等待公安機(jī)關(guān)的審核,若審核通過,公安機(jī)關(guān)會(huì)頒發(fā)備案證明;若不通過,公安機(jī)關(guān)也會(huì)給予反饋。
三、信息系統(tǒng)的測評(píng)整改
之所以把信息系統(tǒng)的測評(píng)和整改連在一起,是因?yàn)榛旧纤衅髽I(yè)都必須進(jìn)行整改,才能通過等級(jí)測評(píng)。等級(jí)測評(píng)指申辦單位委托具備測評(píng)資質(zhì)的測評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測評(píng),形成正式的測評(píng)報(bào)告;整改指企業(yè)按照等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn),將信息系統(tǒng)中的不符合項(xiàng)變?yōu)榉?,降低信息系統(tǒng)安全風(fēng)險(xiǎn)。
一般來說,大多數(shù)企業(yè)都是先委托專業(yè)的測評(píng)機(jī)構(gòu)來進(jìn)行測評(píng),然后再根據(jù)測評(píng)機(jī)構(gòu)給出的整改清單進(jìn)行整改。整改完成之后,重新測評(píng),測評(píng)通過之后,就可以將測評(píng)報(bào)告、整改報(bào)告等提交公安機(jī)關(guān)。只有成功通過等級(jí)測評(píng),企業(yè)才算是真正落實(shí)了等級(jí)保護(hù),獲得等級(jí)保護(hù)認(rèn)證。
一般來說,企業(yè)需要整改的比較常見的系統(tǒng)安全問題包含以下三類:
①安全管理制度不完善或缺失問題
整改建議:1、向測評(píng)機(jī)構(gòu)或者做得好的單位借鑒一些成熟的安全管理制度,然后根據(jù)自己單位的實(shí)際情況進(jìn)行細(xì)化,變?yōu)樽约旱陌踩芾碇贫润w系;2、請(qǐng)測評(píng)機(jī)構(gòu)或相關(guān)單位進(jìn)行專門的安全制度體系建設(shè)。
②漏洞補(bǔ)丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類問題
這類問題的整改我們統(tǒng)稱為安全服務(wù)整改建設(shè),整改需要做到:把安全設(shè)備配置合適合規(guī)的策略,主機(jī)及應(yīng)用做應(yīng)有的加固,關(guān)閉不必要的端口,對(duì)高危漏洞進(jìn)行打補(bǔ)丁,合理劃分不同網(wǎng)絡(luò)區(qū)域等等。
整改建議:1、企業(yè)可以讓自己的技術(shù)人員解決這些問題,同時(shí)尋找系統(tǒng)集成商、軟件開發(fā)商協(xié)助解決;2、尋找有實(shí)力的測評(píng)機(jī)構(gòu)或安全服務(wù)商來解決這些問題。
③設(shè)備缺失或不足問題
備缺失或不足問題主要指什么呢?比如根據(jù)等級(jí)測評(píng)報(bào)告,企業(yè)的信息系統(tǒng)沒有入侵檢測設(shè)備或者防火墻里不帶有入侵檢測功能,但又必須滿足這個(gè)條件,企業(yè)就需要新增入侵檢測設(shè)備。當(dāng)然,由于實(shí)際情況不同,企業(yè)需要新增的設(shè)備有優(yōu)先級(jí)的不同,一些設(shè)備需要當(dāng)下就立即新增,一些設(shè)備則可以后續(xù)再慢慢新增。
整改建議:根據(jù)實(shí)際情況,制定設(shè)備新增計(jì)劃,省時(shí)省力省錢。
一、信息系統(tǒng)定級(jí)
信息系統(tǒng)的保護(hù)等級(jí)被分為五個(gè)級(jí)別,五個(gè)級(jí)別的差別如下表所示:
等保級(jí)別 | 適用信息系統(tǒng)及行業(yè) | 信息系統(tǒng)破壞后侵害程度 |
第一級(jí) (自主保護(hù)級(jí)) |
一般適用于小型私營、個(gè)體企業(yè)、中小學(xué),鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)。 | 信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。 |
第二級(jí) (指導(dǎo)保護(hù)級(jí)) |
一般適用于縣級(jí)其些單位中的重要信息系統(tǒng);地市級(jí)以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。 | 信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國家安全。 |
第三級(jí) (監(jiān)督保護(hù)級(jí)) |
一般適用于地市級(jí)以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng);中央各部委、?。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等。 | 信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害。 |
第四級(jí) (強(qiáng)制保護(hù)級(jí)) |
一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計(jì)民生的核心系統(tǒng)。 | 信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國家安全造成嚴(yán)重?fù)p害。 |
第五級(jí) (??乇Wo(hù)級(jí)) |
一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。 | 信息系統(tǒng)受到破壞后,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)準(zhǔn)則和等級(jí)劃分。 |
企業(yè)確定自己需要做等級(jí)保護(hù)的信息系統(tǒng)之后,就可以根據(jù)確定定級(jí)對(duì)象→初步確定等級(jí)→專家評(píng)審→主管部門審核→公安機(jī)關(guān)備案審查→最終確定的等級(jí)的定級(jí)流程,對(duì)信息系統(tǒng)進(jìn)行定級(jí)。
二、信息系統(tǒng)備案
定級(jí)完成之后,企業(yè)需要準(zhǔn)備相應(yīng)材料,到公安機(jī)關(guān)進(jìn)行備案。備案材料主要是《信息安全等級(jí)保護(hù)備案表》,不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。
二級(jí)及其以上的信息系統(tǒng)運(yùn)行使用單位或主管部門在備案時(shí)需要提交的資料有:① 信息系統(tǒng)安全定級(jí)報(bào)告紙質(zhì)材料,一式兩份;② 信息系統(tǒng)安全備案表紙質(zhì)材料,一式兩份;③上述備案的電子檔,并制作出光盤提交。
材料提交之后,就可以耐心等待公安機(jī)關(guān)的審核,若審核通過,公安機(jī)關(guān)會(huì)頒發(fā)備案證明;若不通過,公安機(jī)關(guān)也會(huì)給予反饋。
三、信息系統(tǒng)的測評(píng)整改
之所以把信息系統(tǒng)的測評(píng)和整改連在一起,是因?yàn)榛旧纤衅髽I(yè)都必須進(jìn)行整改,才能通過等級(jí)測評(píng)。等級(jí)測評(píng)指申辦單位委托具備測評(píng)資質(zhì)的測評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測評(píng),形成正式的測評(píng)報(bào)告;整改指企業(yè)按照等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn),將信息系統(tǒng)中的不符合項(xiàng)變?yōu)榉?,降低信息系統(tǒng)安全風(fēng)險(xiǎn)。
一般來說,大多數(shù)企業(yè)都是先委托專業(yè)的測評(píng)機(jī)構(gòu)來進(jìn)行測評(píng),然后再根據(jù)測評(píng)機(jī)構(gòu)給出的整改清單進(jìn)行整改。整改完成之后,重新測評(píng),測評(píng)通過之后,就可以將測評(píng)報(bào)告、整改報(bào)告等提交公安機(jī)關(guān)。只有成功通過等級(jí)測評(píng),企業(yè)才算是真正落實(shí)了等級(jí)保護(hù),獲得等級(jí)保護(hù)認(rèn)證。
一般來說,企業(yè)需要整改的比較常見的系統(tǒng)安全問題包含以下三類:
①安全管理制度不完善或缺失問題
整改建議:1、向測評(píng)機(jī)構(gòu)或者做得好的單位借鑒一些成熟的安全管理制度,然后根據(jù)自己單位的實(shí)際情況進(jìn)行細(xì)化,變?yōu)樽约旱陌踩芾碇贫润w系;2、請(qǐng)測評(píng)機(jī)構(gòu)或相關(guān)單位進(jìn)行專門的安全制度體系建設(shè)。
②漏洞補(bǔ)丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類問題
這類問題的整改我們統(tǒng)稱為安全服務(wù)整改建設(shè),整改需要做到:把安全設(shè)備配置合適合規(guī)的策略,主機(jī)及應(yīng)用做應(yīng)有的加固,關(guān)閉不必要的端口,對(duì)高危漏洞進(jìn)行打補(bǔ)丁,合理劃分不同網(wǎng)絡(luò)區(qū)域等等。
整改建議:1、企業(yè)可以讓自己的技術(shù)人員解決這些問題,同時(shí)尋找系統(tǒng)集成商、軟件開發(fā)商協(xié)助解決;2、尋找有實(shí)力的測評(píng)機(jī)構(gòu)或安全服務(wù)商來解決這些問題。
③設(shè)備缺失或不足問題
備缺失或不足問題主要指什么呢?比如根據(jù)等級(jí)測評(píng)報(bào)告,企業(yè)的信息系統(tǒng)沒有入侵檢測設(shè)備或者防火墻里不帶有入侵檢測功能,但又必須滿足這個(gè)條件,企業(yè)就需要新增入侵檢測設(shè)備。當(dāng)然,由于實(shí)際情況不同,企業(yè)需要新增的設(shè)備有優(yōu)先級(jí)的不同,一些設(shè)備需要當(dāng)下就立即新增,一些設(shè)備則可以后續(xù)再慢慢新增。
整改建議:根據(jù)實(shí)際情況,制定設(shè)備新增計(jì)劃,省時(shí)省力省錢。