安徽企業(yè)要想合規(guī)通過信息系統(tǒng)安全等級保護，需要按照等級保護的辦理流程，做好每一步。本篇文章依據(jù)等保2.0相關標準，并結合等保標準制定參與者之一靈狐科技的等保服務經(jīng)驗，為安徽企業(yè)提供信息系統(tǒng)安全等級保護合規(guī)通過方案。方案在手，等保合規(guī)小case！
 
一、安徽信息系統(tǒng)安全等級保護定級備案
 
定級依據(jù)是《信息系統(tǒng)安全等級保護定級指南》。定級流程為：確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查→最終確定的等級。
 
定級之后，就可以準備備案材料進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。
 
二級及其以上的信息系統(tǒng)運行使用單位或主管部門在備案時需要提交的資料有：① 信息系統(tǒng)安全定級報告紙質(zhì)材料，一式兩份；② 信息系統(tǒng)安全備案表紙質(zhì)材料，一式兩份；③上述備案的電子檔，并制作出光盤提交。
 
第三級以上信息系統(tǒng)同時提供以下材料：（一）系統(tǒng)拓撲結構及說明；（二）系統(tǒng)安全組織機構和管理制度；（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。
 
備案材料準備好之后，需提交屬地公安機關網(wǎng)安部門審核。對符合等級保護要求的，在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正。
 
在這一階段，安徽靈狐科技提供的等保服務為：協(xié)助企業(yè)開展定級備案，包括但不限于聯(lián)系專家評審，填寫、準備備案材料，并提交公安機關審核。
 
二、安徽信息系統(tǒng)安全等級保護加固整改
 
等保整改指企業(yè)根據(jù)等級保護建設要求，對信息和信息系統(tǒng)進行網(wǎng)絡安全升級，對定級對象當前不滿足要求的進行建設整改，包括技術層面的整改，也包括管理方面的整改。
 
一般來說，企業(yè)需要整改的比較常見的系統(tǒng)安全問題包含以下三類：
①安全管理制度不完善或缺失問題
整改建議：1、向測評機構或者做得好的單位借鑒一些成熟的安全管理制度，然后根據(jù)自己單位的實際情況進行細化，變?yōu)樽约旱陌踩芾碇贫润w系；2、請測評機構或相關單位進行專門的安全制度體系建設。
 
②漏洞補丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡結構調(diào)整類問題
這類問題的整改我們統(tǒng)稱為安全服務整改建設，整改需要做到：把安全設備配置合適合規(guī)的策略，主機及應用做應有的加固，關閉不必要的端口，對高危漏洞進行打補丁，合理劃分不同網(wǎng)絡區(qū)域等等。
整改建議：1、企業(yè)可以讓自己的技術人員解決這些問題，同時尋找系統(tǒng)集成商、軟件開發(fā)商協(xié)助解決；2、尋找有實力的測評機構或安全服務商來解決這些問題。
 
③設備缺失或不足問題
設備缺失或不足問題主要指什么呢？比如根據(jù)等級測評報告，企業(yè)的信息系統(tǒng)沒有入侵檢測設備或者防火墻里不帶有入侵檢測功能，但又必須滿足這個條件，企業(yè)就需要新增入侵檢測設備。當然，由于實際情況不同，企業(yè)需要新增的設備有優(yōu)先級的不同，一些設備需要當下就立即新增，一些設備則可以后續(xù)再慢慢新增。
整改建議：根據(jù)實際情況，制定設備新增計劃，省時省力省錢。
 
在這一階段，安徽靈狐科技提供的等保服務為：針對定級備案系統(tǒng)所在的系統(tǒng)環(huán)境進行調(diào)研，以分析信息系統(tǒng)當前風險狀況，明確等級保護整改需求和重點。同時提供等級保護安全整改與加固服務，包括重要信息系統(tǒng)相關的網(wǎng)絡結構化設計，網(wǎng)絡安全、服務器主機、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等設備的采購及部署，產(chǎn)品集成實施、主機安全基線配置、應用及數(shù)據(jù)庫安全配置、主機及應用打補丁、安全審計策略配置、應用代碼整改等內(nèi)容。
 
安徽信息系統(tǒng)安全等級保護等級測評
 
等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，運用科學的手段和方法，對處理特定應用的信息系統(tǒng)，采用安全技術測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統(tǒng)的技術和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結論，針對安全不符合項提出安全整改建議。
 
等級測評需要具備一定的資質(zhì)，測評機構至少得具備信息安全等級測評推薦證書。我們的技術人員將全程協(xié)助測評機構測評工作的開展。