欢迎访问等保测评网!

等保服务热线:18664786404

当前位置:主页 > 等保咨询 >

企业网站等级保护测评必须做吗

2021-01-06 16:33

企业网站等级保护测评必须做吗?答案是必然的。
等保2.0时代,企业网站等级保护测评得分要在70分以上,且信息系统没有高风险项才算通过。为了达到或者超过这个目标,企业可以按照以下流程,落实网站的等级保护工作。
 
1.网站定级备案
定级备案是等级保护测评的先决条件,网站必须先进行了等级保护备案之后,才能进行测评。定级即企业根据《信息系统等级保护定级指南》确定网站的等级保护级别,一般是二级或者三级,定级流程是这样的:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
 
网站等级保护级别确定之后,企业即可以准备备案材料到公安机关进行备案,备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
 
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
 
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
 
备案成功之后,企业进入到下一步的测评。如果备案不成功,企业需要重新定级、备案。
 
2.网站等级保护测评与整改
为什么要把整改和测评连在一起说呢?这是因为,绝大多数网站都存在一定的安全问题,或是安全设备缺失,或是安全管理制度不完善,如果不进行整改,网站是无法通过等级保护测评的。
 
那么,网站等级保护测评与整改到底怎么做呢?这里有两种选择:
 
第一种是企业直接找到合适的测评机构,测评机构按照等级保护标准,先给网站进行一次差距测评,发现网站存在的安全问题,然后把这些安全问题整理出来,企业根据安全问题进行整改。整改之后,测评机构重新给网站进行一次验收测评(复测),测评通过,企业把测评报告和整改报告一起提交公安机关,就算是落实了网站的等级保护。
 
第二种是企业先自己进行一次整改,或者找专业的等保服务机构同时提供差距测评和整改工作,这样等测评机构进行测评的时候,网站风险很小,基本上就可以一次通过等级测评,就能大大节省企业过等保的时间。
 
注意,企业挑选测评机构要认真,根据规定,测评机构需要具备一定的资质,至少应该具备《信息安全等级保护测评机构推荐证书》,企业可以登录中国网络安全等级保护网查询公安机关推荐的测评机构来进行测评。其次,等级保护测评是收费的,如果企业复测之后,信息系统问题还是很多,还需要重新整改测评的话,企业是需要重新交费的,所以整改一定要到位,让测评早点通过。
 
为了让网站能早日通过等级测评,企业可以从以下三方面入手,落实网站等级保护整改工作:
1.安全管理制度不完善或缺失问题
整改建议:①向测评机构或者做得好的单位借鉴一些成熟的安全管理制度,然后根据自己单位的实际情况进行细化,变为自己的安全管理制度体系;②请测评机构或相关单位进行专门的安全制度体系建设。
 
2.漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类问题
这类问题的整改我们统称为安全服务整改建设,整改需要做到:把安全设备配置合适合规的策略,主机及应用做应有的加固,关闭不必要的端口,对高危漏洞进行打补丁,合理划分不同网络区域等等。
整改建议:①企业可以让自己的技术人员解决这些问题,同时寻找系统集成商、软件开发商协助解决;②寻找有实力的测评机构或安全服务商来解决这些问题。
 
3.设备缺失或不足问题
备缺失或不足问题主要指什么呢?比如根据等级测评报告,企业的信息系统没有入侵检测设备或者防火墙里不带有入侵检测功能,但又必须满足这个条件,企业就需要新增入侵检测设备。当然,由于实际情况不同,企业需要新增的设备有优先级的不同,一些设备需要当下就立即新增,一些设备则可以后续再慢慢新增。
整改建议:根据实际情况,制定设备新增计划,省时省力省钱。