二級信息系統網絡安全等級保護認證申請
我國實行網絡安全等級保護制度,等級保護認證指企業按照等級保護的建設標準,通過定級、備案、安全建設(整改)、等級測評、監督檢查等環節,讓企業的信息系統符合國家安全建設要求。靈狐科技為各企業提供二級信息系統網絡安全等級保護認證申請步驟,需要的企業可收藏:
一、信息系統定級
信息系統的保護等級被分為五個級別,五個級別的差別如下表所示:
企業確定自己需要做等級保護的信息系統之后,就可以根據確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查→最終確定的等級的定級流程,對信息系統進行定級。
二、信息系統備案
定級完成之后,企業需要準備相應材料,到公安機關進行備案。備案材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。
二級及其以上的信息系統運行使用單位或主管部門在備案時需要提交的資料有:① 信息系統安全定級報告紙質材料,一式兩份;② 信息系統安全備案表紙質材料,一式兩份;③上述備案的電子檔,并制作出光盤提交。
材料提交之后,就可以耐心等待公安機關的審核,若審核通過,公安機關會頒發備案證明;若不通過,公安機關也會給予反饋。
三、信息系統的測評整改
之所以把信息系統的測評和整改連在一起,是因為基本上所有企業都必須進行整改,才能通過等級測評。等級測評指申辦單位委托具備測評資質的測評機構對定級對象進行等級測評,形成正式的測評報告;整改指企業按照等級保護的相關標準,將信息系統中的不符合項變為符合,降低信息系統安全風險。
一般來說,大多數企業都是先委托專業的測評機構來進行測評,然后再根據測評機構給出的整改清單進行整改。整改完成之后,重新測評,測評通過之后,就可以將測評報告、整改報告等提交公安機關。只有成功通過等級測評,企業才算是真正落實了等級保護,獲得等級保護認證。
一般來說,企業需要整改的比較常見的系統安全問題包含以下三類:
①安全管理制度不完善或缺失問題
整改建議:1、向測評機構或者做得好的單位借鑒一些成熟的安全管理制度,然后根據自己單位的實際情況進行細化,變為自己的安全管理制度體系;2、請測評機構或相關單位進行專門的安全制度體系建設。
②漏洞補丁類、安全策略調整類、安全加固類、網絡結構調整類問題
這類問題的整改我們統稱為安全服務整改建設,整改需要做到:把安全設備配置合適合規的策略,主機及應用做應有的加固,關閉不必要的端口,對高危漏洞進行打補丁,合理劃分不同網絡區域等等。
整改建議:1、企業可以讓自己的技術人員解決這些問題,同時尋找系統集成商、軟件開發商協助解決;2、尋找有實力的測評機構或安全服務商來解決這些問題。
③設備缺失或不足問題
備缺失或不足問題主要指什么呢?比如根據等級測評報告,企業的信息系統沒有入侵檢測設備或者防火墻里不帶有入侵檢測功能,但又必須滿足這個條件,企業就需要新增入侵檢測設備。當然,由于實際情況不同,企業需要新增的設備有優先級的不同,一些設備需要當下就立即新增,一些設備則可以后續再慢慢新增。
整改建議:根據實際情況,制定設備新增計劃,省時省力省錢。
一、信息系統定級
信息系統的保護等級被分為五個級別,五個級別的差別如下表所示:
| 等保級別 | 適用信息系統及行業 | 信息系統破壞后侵害程度 |
|
第一級 (自主保護級) |
一般適用于小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統。 | 信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。 |
|
第二級 (指導保護級) |
一般適用于縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。 | 信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。 |
|
第三級 (監督保護級) |
一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網絡系統等。 | 信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。 |
|
第四級 (強制保護級) |
一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。 | 信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。 |
|
第五級 (專控保護級) |
一般適用于國家重要領域、重要部門中的極端重要系統。 | 信息系統受到破壞后,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級準則和等級劃分。 |
企業確定自己需要做等級保護的信息系統之后,就可以根據確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查→最終確定的等級的定級流程,對信息系統進行定級。
二、信息系統備案
定級完成之后,企業需要準備相應材料,到公安機關進行備案。備案材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。
二級及其以上的信息系統運行使用單位或主管部門在備案時需要提交的資料有:① 信息系統安全定級報告紙質材料,一式兩份;② 信息系統安全備案表紙質材料,一式兩份;③上述備案的電子檔,并制作出光盤提交。
材料提交之后,就可以耐心等待公安機關的審核,若審核通過,公安機關會頒發備案證明;若不通過,公安機關也會給予反饋。
三、信息系統的測評整改
之所以把信息系統的測評和整改連在一起,是因為基本上所有企業都必須進行整改,才能通過等級測評。等級測評指申辦單位委托具備測評資質的測評機構對定級對象進行等級測評,形成正式的測評報告;整改指企業按照等級保護的相關標準,將信息系統中的不符合項變為符合,降低信息系統安全風險。
一般來說,大多數企業都是先委托專業的測評機構來進行測評,然后再根據測評機構給出的整改清單進行整改。整改完成之后,重新測評,測評通過之后,就可以將測評報告、整改報告等提交公安機關。只有成功通過等級測評,企業才算是真正落實了等級保護,獲得等級保護認證。
一般來說,企業需要整改的比較常見的系統安全問題包含以下三類:
①安全管理制度不完善或缺失問題
整改建議:1、向測評機構或者做得好的單位借鑒一些成熟的安全管理制度,然后根據自己單位的實際情況進行細化,變為自己的安全管理制度體系;2、請測評機構或相關單位進行專門的安全制度體系建設。
②漏洞補丁類、安全策略調整類、安全加固類、網絡結構調整類問題
這類問題的整改我們統稱為安全服務整改建設,整改需要做到:把安全設備配置合適合規的策略,主機及應用做應有的加固,關閉不必要的端口,對高危漏洞進行打補丁,合理劃分不同網絡區域等等。
整改建議:1、企業可以讓自己的技術人員解決這些問題,同時尋找系統集成商、軟件開發商協助解決;2、尋找有實力的測評機構或安全服務商來解決這些問題。
③設備缺失或不足問題
備缺失或不足問題主要指什么呢?比如根據等級測評報告,企業的信息系統沒有入侵檢測設備或者防火墻里不帶有入侵檢測功能,但又必須滿足這個條件,企業就需要新增入侵檢測設備。當然,由于實際情況不同,企業需要新增的設備有優先級的不同,一些設備需要當下就立即新增,一些設備則可以后續再慢慢新增。
整改建議:根據實際情況,制定設備新增計劃,省時省力省錢。
