要说三级等保得先说说啥是系统的信息安全等级保护评定。
简单的说就是根据国家的基本网络安全制度要求企业在建设信息化系统的时候要按照相关的安全建设标准来建设,目前大多数行业都普遍有这个要求,比如:金融、广电、医疗、教育、电力等行业。支撑这一说法的有两个法律文件:《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
再说说等保有几个等级?等级保护级别是由安全保护能力来决定的,安全保护能力包括对抗能力和恢复能力。
对抗能力:——能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
恢复能力:——主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
那么,全国那么多企业,谁来评定这个呢?这个一般由国家指定的具有企业信息安全等级评定资质的第三方测评机构来完成,每个省或直辖市都有这样的机构,比如上海市就有五家机构可以做这件事。
1.国家网络与信息系统安全产品质量监督检验中心 (上海市岳阳路76号)
2.上海市信息安全测评认证中心(上海市黄浦区陆家浜路1308号)
3.上海交通大学信息安全服务技术研究实验室(上海市浦东新区张衡路429号)
4.上海计算机软件技术开发中心(上海市闵行区联航路1588号技术中心楼3楼)
5.上海市网络技术综合应用研究所(上海市长宁区虹桥路2283号君座5座)
一般一个企业要做系统的安全等级评定需要按照怎样的流程进行呢?还有测评内容都有哪些呢?
首先得选一家等保评定咨询服务机构(这里不是指评定机构,当然可以自己全部搞定),然后他们会引导企业进行后续工作,大致流程可以分为如下几步:
1.等级备案:企业填写备案资料,资料较多,各种盖章;
2.技术准备:根据经验要对系统及运维层面进行提前的准备;
3.初步测评:测评机构会派人来初步测评,告诉企业那里不达标;
4.整改建设:主要就是补各种文档和应用的改造,有些可能涉及到IDC的改造;
5.复测:第二次测评;
6.出具测评报告:如果达标,一般会出具一个测评报告。
等级保护测评内容由类,点,项组成。由10大类组成,10大类分2部分:技术要求和管理要求。
这篇文章题目叫三级等保应该注意哪些?事实上大多数金融企业都是按照三级等保要求来建设系统的,当然大的银行机构是按照四级标准建设,五级的话更多的军方以及国安方面的系统要求了,笔者曾主导过互金企业的系统三级等保评定工作,下面就三级等保的相关要求给大家分享一下。
三级等保运维管理制度测评要点:
三级等保系统建设管理制度测评要点:
三级等保技术要求测评要点:
以上这些测评要点,最终都要转化为文档报告接受测评机构的检查,以互金系统为例,可能涉及到的文档(部分)有:
1.需求规格说明书
2.概要设计说明书
3.详细设计说明书
4.网络拓扑图
5.工程实施方案
6.编码规范
7.数据库设计说明
8.开发测试规范
9.外部接口安全设计指引
10.系统安全总体安全策略指引
11.系统安全总体建设规划
12.用户操作手册
13.用户真实身份认证管理制度及措施
14.代码审计报告
15.资金存管制度
16.安全漏洞修复指引
17.交易数据保存制度
18.信息安全管理制度
19.网络安全管理制度
20.网络设备日志管理制度
21.安全管理制度
22.系统病毒防范与补丁管理办法
23.系统剩余信息保护管理办法
24.系统漏洞扫描制度
25.开发管理办法
......
