对于绝大多数企业来说,等级保护不是选择题,而是必做题。但等到真正要落实等级保护工作的时候,企业往往会被这样一个问题困扰:等级保护究竟要做几级?
级别太低担心不符合要求;
级别太高的话,测评项目多,安全防护要求高,高昂的测评费用和整改费用又会让人头疼。
不过,对于有些企业来说,他们不用考虑做几级等保的问题。因为根据规定,他们必须做三级等保。
01
网络货运平台
2019年9月27日,针对想要做网络平台道路货物运输经营服务的平台,交通部给出了相关的指南,其中强调:货运平台系统安全建议起码满足网络安全等级保护三级要求。
在《省级网络货运信息监测系统建设指南》中,交通部指出:根据国家信息安全等级保护相关要求,建议省级监测系统的安全保护等级不低于三级。
而在《网络平台道路货物运输经营服务指南》中,交通部提到,网络货运经营者线上服务能力需要符合国家关于信息系统安全等级保护的要求,其中一项是建议取得三级及以上的等保认证。
02
互联网医院
三级等保是互联网医院上线的必要条件。2018年,国家卫生健康委员会就发布了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,对互联网医院信息安全、人员资质、监督管理等进行了规范,其明确规定:承载互联网医院的平台必须通过等保三级测评。
03
P2P网络借贷平台
2016年8月,银监会等四部委发布《网络借贷信息中介业务管理暂行办法》,提出了一系列P2P规范化运营要求,其中第18条明确规定:网络借贷信息中介机构应当按信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施,保护出借人与借款人的信息安全。
《网络借贷信息中介业务管理暂行办法》一出,“三级等保”由此成为互金平台合规运营的标配。P2P网络借贷平台必须通过三级等保测评,才能顺利备案。
那如果不属于这些行业,但是想知道自己要不要做三级等保呢?这里有一个小诀窍:
带有客户敏感信息或者传播性强、承载业务核心的系统,如:带有用户身份、用户管理、交易类、报考、录取、病例等关键个人信息的系统,以及公共传媒、关键信息基础设施等系统建议定级为三级,做三级等保。
三级等保具体怎么做?
三级等保办理包含:定级、备案、安全建设(整改)、等级测评、监督检查五个环节。
我们重点来说说“整改”这一个环节。根据等保2.0最新规定,测评得分要在70分以上才算合格。为了达到这个要求,企业必须通过整改,提高信息系统安全防护水平。以青莲曾经做过的一个货运服务平台三级等保为例:
某货运服务平台是一个公路运输服务平台,整合卡车、司机和物流专线,其提供整车、 拼车和零担等运输服务。平台主要功能包括司机功能与货主功能:司机功能包括在线接单、运单管理、线路订阅;货主功能包括在线支付、订单管理、定金保驾、定位货运。
经过测评,我们发现该货运服务平台存在不少亟需解决的安全问题,比如未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证;比如未能够配置可信验证策略……
最大的一个问题是:该平台系统需要备份的服务器产生大量日志,需要进行统一的日志收集分析平台,但自建日志服务器投入成本大,运维难。
针对该货运服务平台系统存在的问题,青莲网络一站式安全专家全程参与,提供了信息安全专业化技术支持和指导,配合客户进行了高效整改工作。
就“自建日志服务器投入成本大,运维难”这个问题而言,我们提供了“阿里云日志服务收服务器的各类日志,并复用RAM中的账号分权”的解决方案,同时“针对日志存放的bucket开启地域冗余,同步备份”。
最终,该平台系统存在的问题得以解决,以91.2的高分通过三级等保测评,测评结论为:良。
