《信息安全等級保護定級指南》規(guī)定�,只要符合以下三個特征,就必須進行等級保護備案。如果符合以下三個特征���,并且安全保護等級是二級及以上,還必須通過等級保護測評��,網(wǎng)站也不例外��。等級保護定級對象的三大基本特征:
①具有確定的主要安全責任主體�;
②承載相對獨立的業(yè)務(wù)應(yīng)用��;
③包含相互關(guān)聯(lián)的多個資源。咨詢等保測評��,后臺私信聯(lián)系�。
那么,如果網(wǎng)站符合以上三個特征�,且信息系統(tǒng)為二級及以上,要怎么做等級保護呢��!網(wǎng)站信息系統(tǒng)安全等級保護辦理步驟解讀來啦���!
1.網(wǎng)站系統(tǒng)定級
根據(jù)等級保護相關(guān)管理文件�����,等級保護對象的安全保護等級一共分五個級別��,從一到五級別逐漸升高�����。等級保護對象的級別由兩個定級要素決定:①受侵害的客體���;②對客體的侵害程度。對于關(guān)鍵信息基礎(chǔ)設(shè)施,“定級原則上不低于三級”�,且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。
等級保護定級流程
2.網(wǎng)站系統(tǒng)備案
根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定:
①已運營(運行)的第二級以上信息系統(tǒng)��,應(yīng)當在安全保護等級確定后30日內(nèi)(等保2.0相關(guān)標準已將備案時限修改為10日內(nèi))�,由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)�����。
②新建第二級以上信息系統(tǒng)����,應(yīng)當在投入運行后30日內(nèi)(等保2.0相關(guān)標準已將備案時限修改為10日內(nèi)),由其運營��、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)���。
③隸屬于中央的在京單位�����,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)��,由主管部門向公安部辦理備案手續(xù)。
④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)��,應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案�����。
企業(yè)最終確定網(wǎng)站的級別以后�,就可以到公安機關(guān)進行備案。備案所需材料主要是《信息安全等級保護備案表》���,不同級別的信息系統(tǒng)需要的備案材料有所差異�。第三級以上信息系統(tǒng)需提供以下材料:
等級保護備案材料
3.網(wǎng)站系統(tǒng)安全建設(shè)(整改)
等級保護整改是等保建設(shè)的其中一個環(huán)節(jié)�,指按照等級保護建設(shè)要求,對信息和信息系統(tǒng)進行的網(wǎng)絡(luò)安全升級���,包括技術(shù)層面整改和管理層面整改�����。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力���,讓企業(yè)可以成功通過等級測評。
等級保護整改沒有什么資質(zhì)要求�����,只要公司可以按照等級保護要求來進行相關(guān)網(wǎng)絡(luò)安全建設(shè),由誰來實施�,是沒有要求的。但由于目前企業(yè)網(wǎng)絡(luò)安全人才緊缺��,企業(yè)很多時候都需要尋找專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司來進行整改?���,F(xiàn)在企業(yè)對信息安全越來越重視,大家或多或少都聽說過做等級保護這個事�。那么做等級保護是不是每個企業(yè)必須要做的呢?答案是:不是必需的���。既然不是必需的那為什么那么多企業(yè)還是要做等級保護呢���?
主要有如下幾點原因:
01
如果不做等級保護,出了信息安全事故����,除了公司自身的經(jīng)濟損失之外,還將面臨公安部的責令停業(yè)整頓和經(jīng)濟處罰���。到這個時候做等級保護也將變成了必需要做的一件事���。所以你說等級保護不是必需做的�����,其實他也可以說是必需做的一件事。不做等級保護隱患太大�,畢竟業(yè)務(wù)停業(yè)整頓不是每個公司都能承受的。做了等級保護如果再出現(xiàn)信息安全事故����,至少公安部這邊好解釋,同時處罰也不會這么重了�����。以下為網(wǎng)絡(luò)安全法的幾條相關(guān)規(guī)定和處罰措施:
《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)于2017年6月1日正式實施
第二十一條:國家實行網(wǎng)絡(luò)安全等級保護制度���。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求�,履行安全保護的義務(wù)�。保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問��,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改。
第二十五條:網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案����,及時處置系統(tǒng)漏洞、計算機病毒�����、網(wǎng)絡(luò)攻擊��、網(wǎng)絡(luò)侵入等安全風險���;在發(fā)生危害網(wǎng)絡(luò)安全的事件時����,立即啟動應(yīng)急預(yù)案�,采取相應(yīng)的補救措施,并按照規(guī)定向有關(guān)主管部門報告���。
第五十九條規(guī)定:網(wǎng)絡(luò)運營者不履行本法第二十一條�����、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的�����,由有關(guān)主管部門責令改正����,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的�����,處一萬元以上十萬元以下罰款��,對直接負責的主管人員處五千元以上五萬元以下罰款�����。
第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者�����、管理者和網(wǎng)絡(luò)服務(wù)提供者��。
《網(wǎng)絡(luò)安全法》第六章規(guī)定的14種懲罰手段:約談����,斷網(wǎng),勒令改正����,警告,罰款����,暫停相關(guān)業(yè)務(wù),停業(yè)整頓����,關(guān)閉網(wǎng)站,吊銷相關(guān)業(yè)務(wù)許可證��,吊銷營業(yè)執(zhí)照�,拘留,職業(yè)禁入���,民事責任���,刑事責任。
總而言之�����,等保2.0實施后,不開展等級保護等于違反《網(wǎng)絡(luò)安全法》�,可以根據(jù)法律法規(guī)進行處罰。
02
有些公司在迅猛發(fā)展過程中往往只看重業(yè)務(wù)而忽視了安全問題����,不僅沒有安全團隊,對代碼和數(shù)據(jù)的保護都沒有任何措施���??赡苓\營維護的人員知道這個問題的嚴重性�,但由于管理人員的角度不同往往會忽略這個問題的嚴重性����。所以運維人員可以利用做等級保護這個契機把公司的安全隱患給消除掉。
通常人們會抱有僥幸的心理�����,認為自己公司這么多年不做等保不搞信息安全也沒啥事���,還能省一筆費用��。這樣做萬一造成了信息安全事故可能造成的經(jīng)濟損失將會遠遠超過你不做等保不搞信息安全省下來的費用��。
整改主要分為管理整改和技術(shù)整改��。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責任部門�����,落實安全崗位和人員��,對安全管理現(xiàn)狀進行分析�����,確定安全管理策略���,制定安全管理制度等����。其中����,安全管理策略和制度又包括人員安全管理事件處置、應(yīng)急響應(yīng)�����、日常運行維護設(shè)備、介質(zhì)管理安全監(jiān)測等���。
技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品����,比如網(wǎng)頁防篡改����、流量監(jiān)測、網(wǎng)絡(luò)入侵監(jiān)測產(chǎn)品等�。
4.網(wǎng)站系統(tǒng)等級測評
等級測評指經(jīng)公安部認證的具有資質(zhì)的測評機構(gòu),依據(jù)國家信息安全等級保護規(guī)范規(guī)定����,受有關(guān)單位委托���,按照有關(guān)管理規(guī)范和技術(shù)標準����,對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動�����。物聯(lián)網(wǎng)企業(yè)等級測評需要尋找合適的測評機構(gòu)來進行測評,測評機構(gòu)至少需要具備《信息安全等級測評推薦證書》�����。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡(luò)安全等級保護網(wǎng)查看國家推薦的有資質(zhì)的測評機構(gòu)名單��。
測評機構(gòu)收費方面����,具體的服務(wù)費用會因為省市不同、測評項目不同�����、行業(yè)不同等而有所差異���。但一般來說�,二級系統(tǒng)測評費用4萬元起步�����,三級系統(tǒng)測評費用7萬元起步���。
根據(jù)規(guī)定����,對信息系統(tǒng)安全等級保護狀況進行的測試應(yīng)包括兩個方面的內(nèi)容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況����;二是系統(tǒng)整體測評,主要測評分析信息系統(tǒng)的整體安全性�����。其中�,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。
5.監(jiān)督檢查
企業(yè)要接受公安機關(guān)不定期的監(jiān)督和檢查�,對公安機關(guān)提出的問題予以改進。
黑龍江陸陸信息科技有限公司��,整合云安全產(chǎn)品的技術(shù)優(yōu)勢��,聯(lián)合優(yōu)質(zhì)等保咨詢����、等保測評合作資源�,提供等保項目的一站式服務(wù),全面覆蓋等保定級、備案��、建設(shè)整改以及測評階段�,高效通過等保測評,落實網(wǎng)絡(luò)安全等級保護工作����。
陸陸科技客戶成功案例涉及各大行業(yè),政府機關(guān)��、教育行業(yè)����、金融行業(yè)、醫(yī)療行業(yè)及各大企業(yè)���。
等保咨詢熱線:15084670000,15124562202
