等保2.0 | 网站信息系统安全等级保护需要哪些步骤?
根据《信息安全等级保护定级指南》的相关规定可知,在满足以下三项条件时,则有必要进行信息安全等级保护备案。若同时具备以上三项标准且安全防护级别达到二级或更高,则还需通过信息安全等级保护测评。作为网站同样也不例外。
等级保护定级对象的主要特征包括:明确承担着主要的安全保障责任;支撑着相对独立且完整的业务系统运行;包括相互关联和相互依存的多类关键资源。
如果企业未完成等保工作将会面临严重的处罚。例如:四川省宜宾市翠屏区教师培训与教育研究中心网站自开通以来长期未完成网络安全等级保护的定级备案以及等级测评等相关工作未能建立网络安全等级保护制度也未能履行相应的网络安全保护义务导致其存在重大安全漏洞进而遭受网络攻击事件侵害。依据《中华人民共和国网络安全法》第二十一条及第五十九条的规定四川省雅安市雨城区公安分局网络安全保卫大队已依法对该单位作出罚款一万ical并对其法人代表唐某某处以五千元ical的处罚
那么,在满足以下三个条件的情况下(其中一个是信息安全级别达到二级及以上),您该如何操作安全等级保护流程呢?该信息已发布!
1.网站系统定级
按照《等级保护制度管理要求》的相关规定,等级保护对象的安全保护标准划分为五个不同的等级,从一级到五级逐步提高。这种划分主要依据两个主要要素:一是侵害的对象;二是侵害的程度。特别对于关键信息基础设施,必须严格遵守'定级不低于三级'的规定,并且对于处于三级及以上的信息系统,必须定期进行测评;其中三级及以上级别的信息系统需至少每年或每半年进行一次。
定级流程:识别定级对象;预判等级;由专家评估;由政府部门审批;由公安部门备案审查;最后认定其等级。
2.网站系统备案
根据《网络安全法》规定:
①已运营(数量)的第二级以上信息系统,在安全保护等级确定之日起30日内(根据等保2.0标准要求已将备案时限调整为10日),由其运营、使用单位应当向所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,在投入运行后30日内(根据等保2.0标准要求已将备案时限调整为10日),由其运营、使用单位应当向所在地设区的市级以上公安机关办理备案手续。
③对于隶属于中央机关并在京工作的单位所管理的跨省或者全国统一联网并由主管部门统一定级的信息系统,则应由主管部门向公安部办理备案手续。
④对跨省或者全国统一联网的信息系统在各地应用的分支系统,则应由当地设区的市级以上公安机关予以备案
当企业确定网站的安全等级后即可向公安机关提交备案申请。办理备案所需的材料主要包括《信息安全等级保护备案表》,不同级别的信息系统的备案需求会有所不同。具体而言:
(一)系统架构图及其说明;
(二)安全组织架构和管理制度;
(三)采用的技术方案包括但不限于安全保护设施设计实施方案或改建实施规划;
(四)产品清单及相应的认证文件和销售授权证明;
(五)经安全测评确认的技术检测评估报告;
(六)获得相关部门认可的技术审查意见;
(七)获得相关部门认可的技术审查意见。
3.网站系统安全建设(整改)
网络安全等级保护整改构成了等保建设的重要组成部分。该措施旨在遵循网络安全等级保护相关要求,在保障企业信息安全的前提下实施相应的安全升级措施,并涵盖技术层面以及管理层面的具体优化调整。其主要目标就是提升企业信息系统的安全防护水平,并确保企业在经过相应整改后能够顺利通过相关部门的安全测评工作。
等级保护整改无需任何资质要求。只要公司能够遵循等级保护的要求进行相关网络安全建设,则实施单位无需指定特定的组织。由于目前企业普遍缺乏网络安全人才,往往需要专业网络安全服务公司来进行整改。
整治工作主要包含两大类:一类是管理整治;另一类是技术整治。在管理整治方面主要涉及:确立主管领导机构并划分责任部门;配备专门的安全岗位人员;对现有的安全管理状况进行评估分析;制定相应的安全管理方案;构建完善的安全管理制度等环节。其中,在安全管理方案与制度建设方面又可分为两个维度:首先是人员安全管理事件的处置流程以及应急响应措施;其次是日常维护设备的配备与管理、介质管理过程中的安全监测工作等,并确保各项措施的有效落实。
技术整改工作主要涉及企业采购和部署符合国家数据安全等级保护标准的产品。例如网页端防篡改功能、流量行为监控系统以及网络入侵检测系统等。
网站系统等级测评是指公安部认可并持有资质的相关机构按照国家信息安全等级保护规范的要求开展的信息安全防护能力评估活动。该活动通常由受测单位委托相关专业机构,在严格遵守管理规范和技术标准的基础上进行安全体系运行能力的检测与分析工作。对于物联网企业而言,在开展信息安全等级保护能力评估前需寻求合适的专业机构进行相关测试,并且该机构需持有《信息安全等级保护二级以上资质认定证书》认证。建议企业登录中国网络安全等保网(www.isss.net)查询国家推荐的具有相应资质的专业评测机构名单
测评机构在收费方面涉及的因素众多且复杂。具体来说,在服务费用方面会受到省市分布、所选测评项目以及所属行业的影响而有所不同。通常情况下,二级系统的起价为5万元起,并不额外加收服务费;三级系统的起价则为9万元起,并且根据实际需求可能会有额外的附加费用
按照规定要求进行信息安全等级保护状况评估工作时,则应当着重开展两大类考核项目:第一类项目涉及安全评估测试工作(SAAT),该测试重点考察信息安全等级保护规范中明确规定的基本安全控制措施是否正确配置至相关信息系统中;第二类项目则为系统全面评测(SAPL),此项目旨在全面考察分析信息系统的安全性水平如何满足相关管理要求。值得注意的是,在整个评估流程中,“SAAT”的实施情况往往被视为基础性的工作内容
企业需遵守公安机关的不定期审查与评估程序,并对其提出的各项问题给予认真对待并采取相应措施以解决存在的问题