信息一體化平臺(tái)如何合規(guī)通過(guò)等保測(cè)評(píng)
信息一體化平臺(tái)需要做等級(jí)保護(hù),不僅要備案,還要合規(guī)通過(guò)等保測(cè)評(píng)。舉個(gè)例子,去年,青島市就發(fā)布了該市公共資源交易市、區(qū)一體化信息平臺(tái)順利通過(guò)國(guó)家安全等級(jí)保護(hù)三級(jí)認(rèn)證的消息,并表示:順利通過(guò)國(guó)家等級(jí)保護(hù)認(rèn)證三級(jí),標(biāo)志著我市公共資源交易市、區(qū)一體化信息平臺(tái)在信息保護(hù)、安全審計(jì)、通信保密等方面的建設(shè)工作均達(dá)到了非銀行機(jī)構(gòu)的最高標(biāo)準(zhǔn),為全面打造全國(guó)一流的公共資源交易市、區(qū)一體化平臺(tái)體系奠定了堅(jiān)實(shí)的安全基礎(chǔ)。
那么,信息一體化平臺(tái)如何合規(guī)通過(guò)等保測(cè)評(píng)呢?助力平臺(tái)等保建設(shè),我們?cè)诖颂峁┬畔⒁惑w化平臺(tái)等級(jí)保護(hù)測(cè)評(píng)通過(guò)方案。
一、信息一體化平臺(tái)測(cè)評(píng)的前提:先定級(jí)備案
信息一體化平臺(tái)必須先完成定級(jí)備案,才能進(jìn)行測(cè)評(píng)。根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定:已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng)和新建的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后10日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。此外,信息一體化平臺(tái)必須取得等保備案證明,才算是成功備案。備案流程是:定級(jí)→準(zhǔn)備備案材料→提交備案材料到公安機(jī)關(guān)審核→等待發(fā)證。
1.定級(jí)
根據(jù)等級(jí)保護(hù)相關(guān)管理文件,等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)一共分五個(gè)級(jí)別,從一到五級(jí)別逐漸升高。等級(jí)保護(hù)對(duì)象的級(jí)別由兩個(gè)定級(jí)要素決定:①受侵害的客體;②對(duì)客體的侵害程度。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施,“定級(jí)原則上不低于三級(jí)”,且第三級(jí)及以上信息系統(tǒng)每年或每半年就要進(jìn)行一次測(cè)評(píng)。
定級(jí)流程:確定定級(jí)對(duì)象→初步確定等級(jí)→專(zhuān)家評(píng)審→主管部門(mén)審批→公安機(jī)構(gòu)備案審查→最終確定的級(jí)別。
2.備案
企業(yè)最終確定信息一體化平臺(tái)系統(tǒng)的級(jí)別以后,就可以到公安機(jī)關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級(jí)保護(hù)備案表》,不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。第三級(jí)以上信息系統(tǒng)需提供以下材料:(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明;(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可證明;(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;(六)信息系統(tǒng)安全保護(hù)等級(jí)專(zhuān)家評(píng)審意見(jiàn);(七)主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。
公安機(jī)關(guān)會(huì)對(duì)材料進(jìn)行審核,一般會(huì)在10日內(nèi)給予反饋,通過(guò)即會(huì)發(fā)放等保備案證明。
二、信息一體化平臺(tái)等級(jí)測(cè)評(píng)怎么做?費(fèi)用多少?
等級(jí)測(cè)評(píng)指經(jīng)公安部認(rèn)證的具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu),依據(jù)國(guó)家信息安全等級(jí)保護(hù)規(guī)范規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。備案成功之后,企業(yè)就可以尋找合適的測(cè)評(píng)機(jī)構(gòu)來(lái)給平臺(tái)系統(tǒng)進(jìn)行測(cè)評(píng),測(cè)評(píng)機(jī)構(gòu)至少需要具備《信息安全等級(jí)測(cè)評(píng)推薦證書(shū)》。企業(yè)可以登錄中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)查看國(guó)家推薦的有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)名單。
測(cè)評(píng)機(jī)構(gòu)收費(fèi)方面,具體的服務(wù)費(fèi)用會(huì)因?yàn)槭∈胁煌y(cè)評(píng)項(xiàng)目不同、行業(yè)不同等而有所差異。但一般來(lái)說(shuō),二級(jí)系統(tǒng)測(cè)評(píng)費(fèi)用4萬(wàn)元起步,三級(jí)系統(tǒng)測(cè)評(píng)費(fèi)用7萬(wàn)元起步。
根據(jù)規(guī)定,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的測(cè)試應(yīng)包括兩個(gè)方面的內(nèi)容:一是安全控制測(cè)評(píng),主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測(cè)評(píng),主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中,安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。
三、信息一體化平臺(tái)等級(jí)保護(hù)整改
測(cè)評(píng)機(jī)構(gòu)結(jié)束測(cè)評(píng)之后,會(huì)按照公安機(jī)關(guān)提供的模板,撰寫(xiě)《測(cè)評(píng)報(bào)告》,如果測(cè)評(píng)通過(guò),企業(yè)將《測(cè)評(píng)報(bào)告》提交公安機(jī)關(guān)即可;如果不通過(guò),就需要根據(jù)測(cè)評(píng)發(fā)現(xiàn)的安全問(wèn)題進(jìn)行整改。
等級(jí)保護(hù)整改是等保建設(shè)的其中一個(gè)環(huán)節(jié),指按照等級(jí)保護(hù)建設(shè)要求,對(duì)信息和信息系統(tǒng)進(jìn)行的網(wǎng)絡(luò)安全升級(jí),包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護(hù)能力,讓企業(yè)可以成功通過(guò)等級(jí)測(cè)評(píng)。
等級(jí)保護(hù)整改沒(méi)有什么資質(zhì)要求,只要企業(yè)可以按照等級(jí)保護(hù)要求來(lái)進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè),由誰(shuí)來(lái)實(shí)施,是沒(méi)有要求的。但由于目前企業(yè)網(wǎng)絡(luò)安全人才緊缺,企業(yè)很多時(shí)候都需要尋找專(zhuān)業(yè)的網(wǎng)絡(luò)安全服務(wù)公司來(lái)進(jìn)行整改,比如安徽靈狐科技。
整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責(zé)任部門(mén),落實(shí)安全崗位和人員,對(duì)安全管理現(xiàn)狀進(jìn)行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應(yīng)急響應(yīng)、日常運(yùn)行維護(hù)設(shè)備、介質(zhì)管理安全監(jiān)測(cè)等。技術(shù)整改主要是指企業(yè)部署和購(gòu)買(mǎi)能夠滿(mǎn)足等保要求的產(chǎn)品,比如網(wǎng)頁(yè)防篡改、流量監(jiān)測(cè)、網(wǎng)絡(luò)入侵監(jiān)測(cè)產(chǎn)品等。
整改結(jié)束之后,測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)重新測(cè)評(píng),然后企業(yè)將新的測(cè)評(píng)報(bào)告和整改報(bào)告一并提交公安機(jī)關(guān),就算是通過(guò)了三級(jí)等保認(rèn)證。