一、系统定级
1.确定定级对象
首先要明确哪些信息系统需要进行等保测评。这可能包括企业内部的办公系统、业务系统(如电商系统、金融交易系统等)、网络基础设施(如企业内部网络、数据中心网络等)以及各类涉及信息处理和存储的系统。
2.参考相关标准和指南
依据国家发布的相关标准,如《信息安全技术网络安全等级保护定级指南》,考虑系统所处理信息的重要性、系统遭到破坏后对社会和企业自身造成的危害程度等因素。
例如,一个处理大量公民个人信息且与社会公共服务相关的系统,可能会被定为较高等级。
3.自主定级
企业自身组织相关人员(包括信息安全专家、业务部门负责人等)对系统进行初步定级。一般分为五级,从第一级到第五级,级别越高,安全要求越严格。例如,大多数企业内部的普通办公系统可能初步定为二级,而涉及金融核心业务的系统可能初步定为三级或更高。
4.专家评审和主管部门审核(如有需要)
对于一些重要系统,可能需要组织专家进行评审,以确保定级的合理性。
部分行业还需要主管部门对定级结果进行审核,如金融行业系统可能需要金融监管部门审核。
二、备案
1.准备备案材料
填写《信息系统安全等级保护备案表》,其中包括系统的基本信息(如名称、功能描述、网络拓扑结构等)、定级情况(定级级别、定级依据等)以及相关责任人员信息。
同时可能需要提供系统的一些辅助说明材料,如系统建设方案、安全管理制度等。
2.提交备案申请
将备案材料提交给当地的公安机关网络安全保卫部门(一般是市级及以上公安机关)。有的地区可能支持线上提交备案申请,有的则需要线下提交纸质材料。
3.审核备案材料
公安机关会对提交的备案材料进行审核。如果材料不完整或不符合要求,会通知企业补充或修改材料。审核通过后,公安机关会给企业颁发《信息系统安全等级保护备案证明》。
三、安全建设和整改
1.差距分析
企业可以自行或委托专业的等保测评机构对系统进行差距分析。测评机构会根据相应等级的安全要求标准,对系统在技术(如网络安全、主机安全、应用安全等)和管理(如安全管理制度、人员安全管理等)方面进行评估,找出系统当前状态与等保要求之间的差距。
2.制定整改方案
根据差距分析结果,企业制定详细的整改方案。整改方案要明确整改的目标、内容、措施、责任人以及时间进度安排等。例如,如果发现网络访问控制存在漏洞,整改措施可能包括配置防火墙规则、部署入侵检测系统等。
3.实施整改
按照整改方案,企业组织相关人员对系统进行安全建设和整改。这可能涉及采购安全设备(如防火墙、加密设备等)、完善安全管理制度(如制定信息安全应急预案、员工安全培训制度等)以及对系统进行技术配置和优化(如更新系统补丁、加强用户认证等)。
四、等保测评
1.选择测评机构
企业需要选择具有相应资质的等保测评机构。测评机构应具备国家认可的测评资质,如公安部颁发的《网络安全等级保护测评机构推荐证书》。企业可以通过查询相关官方网站或咨询行业主管部门了解测评机构的资质情况。
2.签订测评合同
企业与选定的测评机构签订测评合同,明确测评的范围、内容、费用、时间安排以及双方的权利和义务等。
3.测评实施
测评机构按照合同约定对系统进行测评。测评过程包括对系统的技术和管理方面进行详细检查和测试。例如,在技术方面会检查网络设备的配置是否符合安全要求、应用系统是否存在漏洞等;在管理方面会检查企业的安全管理制度是否健全、是否得到有效执行等。
4.出具测评报告
测评完成后,测评机构会出具《网络安全等级保护测评报告》。报告中会明确系统是否符合相应等级的安全要求,如果不符合,会详细说明不符合的项以及整改建议。
五、监督与检查
1.企业自查
企业在拿到测评报告后,应根据报告中的整改建议继续完善系统的安全建设。同时,企业要定期对系统进行自查,确保系统始终符合等保要求。
2.公安机关监督检查
公安机关会对企业的信息系统进行监督检查。检查的内容包括企业是否按照规定进行了定级备案、是否按照测评报告进行了整改、系统是否仍然符合等保要求等。如果发现企业存在问题,公安机关会责令企业限期整改,并根据情节轻重依法给予相应处罚。
)
