等级保护服务
| 一、等级保护简介 |
|
《中华人民共和国网络安全法》规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 |
| 二、为什么要做等保测评 |
|
1. 降低信息安全风险,提高信息系统的安全防护能力; |
| 三、等保测评如何分级 |
|
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为以下五级,一至五级等级逐级增高: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。 |
| 四、等级保护要求内容 |
| 《信息安全等级保护基本要求》规定了不同安全保护等级信息系统的基本保护要求,包括技术要求(五项)和管理要求(五项),用于指导分等级的信息系统的安全建设和监督管理。 |
 |
| 五、等级保护主要流程 |
 |
| 六、等级保护咨询服务介绍 |
| 等级保护咨询工作,是为客户准备启动等级保护工作和在等级保护工作实施过程中,根据《信息安全技术网络安全等级保护基本要求》提供等级保护工作的辅导服务,协助客户完成等级保护定级备案、信息系统调研梳理、信息系统安全评估、管理制度体系辅导、信息系统预测评、信息系统整改建议。 |
|
定级备案:协助客户对信息系统进行定级,初步确定了安全保护等级后,将由上级主管部门对定级结果进行审核和批准,保证定级结果的准确性。对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级报告。随后我们将协助客户协助用户向所在地区的公安机关办理定级备案手续。 系统调研+安全评估:在客户现场针对客户系统进行调研,同时采用人员访谈、人工审计、漏洞扫描、渗透测试的方式,从安全技术和安全管理两个方面对客户信息系统进行安全评估,安全技术方面包括安全物理环境、安全通讯网络、安全区域边界、安全计算环境、安全管理中心五个方面存在的漏洞和弱点进行识别和分析;安全管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面存在的问题进行梳理。 系统预测评+差距分析:开展信息系统预测评工作,通过对照检查、人工分析等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距。从安全控制差距分析、系统整体差距分析两个方面确定信息系统安全整改需求,安全控制差距分析分为安全技术差距分析和安全管理差距分析两大类;系统整体差距分析方面,主要分析信息系统的整体安全性;结合安全评估的结果进行差距分析,根据最终结果形成《系统差距分析报告》。 安全整改:形成差距分析之后,将进行安全整改建设,以满足国家等级保护的基本要求,提高客户单位信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进信息化建设的健康发展。整改建设包括管理安全整改建设和技术安全整改建设两个方面。为客户提供《系统整改建设方案》,并配合客户按要求进行系统整改。 测评协助:在安全整改建设完成后,我们根据《信息安全等级保护基本要求》、《信息安全等级保护测评指南》,并根据测评机构选取的测评范围、测评对象、测评强度、测评方法,以现场配合的方式来协助客户选定的等级保护测评机构完成等级保护测评工作。尽可能的避免或减少测评工作对客户系统和正常业务开展带来的影响。 |
