物流快递平台信息系统存储的数据量大，而且涉及很多用户的隐私信息，为了保护数据的安全，同时提高信息系统的安全性，避免被黑客攻击、病毒侵入，导致信息系统无法顺利运行，物流快递平台信息系统必须做等级保护。
 
早在2012年，物流政策法规《关于进一步开展交通运输行业信息安全等级保护工作的通知》就已经发布，其要求物流、快递行业各单位落实等保工作，保护信息系统的安全。再到2019年，交通厅运输部发布了《网络平台道路货运经营服务指南》，其明确指出，网络货运运营者应当接入升级货运信息监测系统。而接入升级货运信息监测系统的其中一个条件就是取得三级及以上信息系统安全等级保护备案证明及其他材料。
 
同时，根据2019年9月9日交通运输部、国家税务总局印发的《网络平台道路货物运输经营管理暂行办法》，2020年1月1日起，物流企业可以申请“网络货运”道路许可证，挺直腰杆实现财税合规。而要想取得“网络货运”道路许可证，物流企业信息系统也必须做三级等保认证。
 
物流快递平台必须做等级保护，今天这篇文章就告诉大家物流企业要如何取得等保备案证明，满足公安机关和主管单位的要求。
 
物流快递平台信息系统安全等级保护备案办理详解
 
企业可以参考《信息安全等级保护定级指南》和《邮政业信息系统安全等级保护实施指南》来做等保。实际工作中，企业可以按照青莲网络提供的等保备案流程来取得等保备案证明：
 

 
三级等保需要准备的备案材料主要是《信息系统安全等级保护备案表》，以及：①系统拓扑结构及说明；②系统安全组织机构和管理制度；③系统安全保护设施设计实施方案或者改建实施方案；④系统使用的信息安全产品清单及其认证、销售许可证明；⑤测评后符合系统安全保护等级的技术检测评估报告；⑥信息系统安全保护等级专家评审意见；⑦主管单位核准信息系统安全保护等级的意见。
 
备案材料准备好之后，企业将备案材料提交公安机关审核，通过即可获得等保备案证明。如不通过，就根据公安机关的反馈重新备案。
 
需要注意的是，物流快递平台系统不仅要备案，还要通过测评才算是完事。测评主要是测评机构来做，至于测评机构选哪家，企业可以参照国家网络安全等级保护工作协调小组办公室推荐测评机构名单（详情见中国网络安全等级保护网）。测评机构会对信息系统进行测评，并在测评结束后出具《测评报告》。如果测评通过，企业将《测评报告》提交公安机关即可，如果不通过，企业需要按照测评发现的安全问题进行整改。整改主要是整改三方面的问题：安全管理制度不完善的问题，漏洞补丁类、修复类问题，设备缺失不足的问题。整改完毕之后，企业需要重新测评，并在测评通过后将整改报告和测评报告一起提交公安机关。
 
物流快递平台信息系统安全等级保护可以找谁做？
 
青莲网络是等保标准制定的参与者之一，长期为物流快递行业提供专业的一站式等级保护解决方案。如下是青莲网络做过的一个物流平台系统安全三级等保合规实例：
1.物流行业平台系统介绍
某系统是一个公路运输服务平台，整合卡车司机和物流专线，提供整车、拼车和零担等运输服务，主要功能包括司机与货主功能，货主功能包括有：在线支付，订单管理，定位货运，定金保驾；司机功能包括有：在线接单，运单管理，线路订阅。
 
该平台系统部署在阿里云私有网络中，采用了阿里云高级版WAF以及高级版云安全中心，保证了系统网络的一定程度的安全性。但根据测评，该平台系统仍然存在不少安全问题，比如未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
 
2.青莲网络整改方案
针对该平台系统存在的安全问题，青莲网络一站式安全专家全程参与，提供信息安全专业化技术支持和指导，配合企业进行了高效整改并满足等保合规，顺利解决测评实施过程暴露的问题及顺利通过安全测评。最终，该平台系统以91.2的高分顺利通过了等级测评。
 
安全通信网络：未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
整改建议：建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
 
安全区域边界：1）被测系统网络核心业务部署在阿里云上，采用了高级版的阿里云安全中心，未能实现对网络攻击特别是新型网络攻击行为的分析；2）未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
整改建议：1）建议采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；2）建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
 
安全计算环境（网络）：1）阿里云控制台：未对重要主体和客体设置安全标记，未控制主体对有安全标记信息资源的访问；2）阿里云控制台：未限定网络地址范围对通过网络进行管理的管理终端进行限制；3）阿里云控制台：未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证。
整改建议：1）阿里云控制台：建议对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问；2）阿里云控制台：建议设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；3）阿里云控制台：建议基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
 
安全管理中心：已通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记，对主体进行授权，但未能够配置可信验证策略。
整改建议：建议通过安全管理员对安全参数的设置以及主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略。
 
安全管理制度：未定期对安全管理制度的合理性和适用性进行论证和审定。
整改建议：组织管理层、决策者和制度修订负责人对安全管理制度定期（例行检查，如每年一次）或不定期（当发生重大变更或紧急事故时进行）进行检查和审定，对发现有误、过时、失效等不符合情况进行修订并重新发布新版本。所制定的安全管理制度应该符合相关法律法规或者行业标准的要求、符合公司网络安全发展战略目标要求、符合公司成本效益要求、符合当前技术发展形势要求。
 
安全管理机构：1）未定期进行包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等全面的安全检查；2）未定期开展全面的安全检查，故不存在相应的检查记录，通报记录等。
整改建议：1）应由网络安全领导层或管理层组织定期进行安全管理评审，检查内容包括检测所采取的安全技术措施是否有效、安全配置和安全策略是否一致、安全管理制度的执行情况等；2）根据相关的安全标准、企业信息安全战略目标制定详细的安全检查列表，详细记录检查情况，形成检查报告，通报结果，归档保存记录，并督促整改。
 
安全管理人员：1）被测单位与录用人员签署了《保密及竞业禁止协议》，但是未与关键岗位人员签署岗位责任协议；2）未制定不同岗位的不同的培训计划。
整改建议：1）与关键岗位的人员单独签署关键岗位责任协议；2）根据每年年初的培训需求调查表，制定年度培训计划，培训内容覆盖网络安全基础知识、岗位安全技能、岗位操作规程等，并按照计划执行，保存培训记录。
 
安全建设管理：1）由网络与信息安全工作领导小组办公室负责保护对象的安全整体规划和安全方案设计，存在《系统安全保护设施设计实施方案》，但设计内容未包含含密码技术相关内容；2）未进行上线前的安全性测试；3）未定期监督、评审和审核服务供应商提供的服务。
整改建议：1）应根据等级保护对象的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，设计内容应包含密码技术相关内容，并形成配套文件；2）对系统进行独立的安全性测试，并出具相应测试报告；3）应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。