企业做等级保护必须拿到两个证书,一个是《信息安全等级保护备案证明》,另一个则是《信息安全等级保护测评报告》。要想拿到备案证明,企业只需要合理定级,并且准备对应材料到公安机关备案即可;但要想拿到测评报告,企业需要做两件事:第一件事是找到合适的测评机构,来给信息系统进行测评,该测评机构同时也会出具测评报告。如果测评通过,企业把测评报告提交到公安机关进行备份,等级保护工作就算是落实了;第二件事是信息系统的安全整改工作,这一点是最重要的的。因为如果整改不到位,信息系统不符合等级保护的要求,那么等级测评也永远无法通过,自然也拿不到合格的测评报告。
根据等保标准规定,基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台都被包含在等保定级的范围之内。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源。简而言之,只要你的企业的信息系统符合以上三个特征,就算是信息系统再小,也需要定级。简而言之,大多数企业都需要给信息系统做等保工作,网站也不例外。
但是,网站等保怎么做呢?对没有做过等保的企业来说,可以说是一头雾水,不知道从何入手。既然如此,企业不如从《信息安全等级保护测评报告》入手,分析网站等级保护工作的办理流程和注意事项。
首先,做测评的前提是企业已经成功备案。所以给网站做等保,企业要做的第一步就是根据定级指南,给网站合理定级,然后准备材料到公安机关进行备案。
备案成功之后,企业就可以开始着手准备整改和测评工作。一个完整的《信息安全等级保护测评报告》,包含的内容有:报告编号、信息系统等级测评基本信息表、声明、等级测评结论、总体评价、主要安全问题、问题处置建议。而等级测评结论、总体评价、主要安全问题和问题处置建议是其中的重点内容。
其中,总体评价指测评结构根据测评内容,并依据等级保护要求,对信息系统的整体安全状况做总说明,主要安全问题和问题处置建议则是指测评机构将测评过程中发现的风险和不符合项列出来,并给出对应的整改建议,测评结论主要内容就是测评得分,判定企业的测评到底有没有通过。等级保护测评结论可参考下表:
| 测评结论和综合得分 | ||||
| 被测对象名称 | ××系统 | 安全保护等级 | 第二级(S2A2) | |
|
等级保护 对象形态 |
√传统IT系统 √云计算 □采用移动互联技术的系统 □物联网 □工业控制系统 □大数据 □其他系统 | |||
| 被测对象描述 | ××系统在线服务应用,能进一步提供给用户制定升学规划,方便用户更加注地学习专业技能,不用浪费时间在筛选学校及专业上。 | |||
| 测评工作描述 | 深圳市××安全检测技术有限公司成立于200×年6月,是一家专门从事计算机网络安全服务的专业安全公司。目前公司拥有由院士、教授级高工、博士、硕士、极富信息安全实践经验和司法鉴定经验的专家、具有顶尖资质的信息安全精英组成的技术、管理团队350余人。本次测评是按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第二级信息系统安全要求进行安全测评。本测评项目的开展经历了测评准备阶段、方案编制阶段、现场实施阶段、分析与报告编制阶段四个阶段,历时三个月左右,投入测评人员8人,使用了多种测评设备/工具。测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,涉及测评分类70类。 | |||
| 等级测评结论 | 良 | 综合得分 | 84.2 | |
由于整改要以测评结果为依据,所以企业备案成功以后,第一件事应该是寻找合适的测评机构。和测评机构达成合作并签订协议之后,测评机构就会进行一系列的准备工作,然后到企业进行现场测评。测评结束以后,会给企业一份整改清单,企业根据整改清单来进行安全整改。整改可以企业自己的技术人员来做,也可以委托第三方专业机构来做,但不管谁来做,都要对照等保标准。
整改结束之后是复测,如果整改到位,复测的结果一般都是通过的,这个时候,测评机构就会出具《信息安全等级保护测评报告》,企业将报告提交给公安机关进行备案,等级保护工作就算是真正落实。
让企业网站等保工作更轻松,青莲网络一站式等级保护解决方案值得拥有!
考虑到企业网络安全人员不足,或者初次做等保没有经验,以及要联系多方费时费力的情况,青莲网络推出了一站式等级保护解决方案,该方案涵盖定级、备案、测评、整改一整个阶段。简而言之,企业基本上可以当甩手掌柜。
| 青莲网络一站式等级保护解决方案 | |
| 等级保护定级备案 | 协助企业开展定级备案,包括但不限于联系专家评审,填写、准备备案材料,并提交公安机关审核。 |
| 等级保护建设差距分析 | 针对定级备案系统所在的系统环境进行调研,以分析信息系统当前风险状况,明确等级保护整改需求和重点。 |
| 等级保护安全整改与加固服务 | 包括重要信息系统相关的网络结构化设计,网络安全、服务器主机、数据库系统、中间件系统等设备的采购及部署,产品集成实施、主机安全基线配置、应用及数据库安全配置、主机及应用打补丁、安全审计策略配置、应用代码整改等内容。 |
| 等级保护测评辅助服务 | 重要信息系统整改完毕后,我们将按照等级保护基本要求和等级保护测评准执行一次差距测评,并根据测评结果弥补缺漏,尽力让企业等级保护测评一次通过。同时,我们还将协助测评机构开展等级测评。 |
| 等级保护管理体系建设服务 | 等级保护对安全管理体系也有要求,针对于此,我们将根据等级保护安全管理基本要求,为重要信息系统建立起符合的安全策略、安全管理制度、安全操作规范等,使企业的信息系统能在符合等保要求的环境中平稳运行。 |
| 等级保护咨询 | 等保技术团队为企业提供全程咨询服务,解答企业关于等保的任何问题。 |
在青莲网络的帮助下,目前已有上百家企业成功通过等保认证,有的企业甚至一个月内就成功拿证。网站等级保护,就找青莲网络!
