信息一体化平台如何合规通过等保测评?

来源:本站 作者:中联信科 日期:2021-04-15 09:57 浏览:
信息一体化平台需要做等级保护,不仅要备案,还要合规通过等保测评。举个例子,去年,青岛市就发布了该市公共资源交易市、区一体化信息平台顺利通过国家安全等级保护三级认证的消息,并表示:顺利通过国家等级保护认证三级,标志着我市公共资源交易市、区一体化信息平台在信息保护、安全审计、通信保密等方面的建设工作均达到了非银行机构的最高标准,为全面打造全国一流的公共资源交易市、区一体化平台体系奠定了坚实的安全基础。
北京中联信科信息安全等级保护认证信息一体化平台等保测评
 
那么,信息一体化平台如何合规通过等保测评呢?助力平台等保建设,中联科技在此提供信息一体化平台等级保护测评通过方案。
 
一、信息一体化平台测评的前提:先定级备案
 
信息一体化平台必须先完成定级备案,才能进行测评。根据《网络安全法》规定:已运营(运行)的第二级以上信息系统和新建的第二级以上信息系统,应当在安全保护等级确定后10日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。此外,信息一体化平台必须取得等保备案证明,才算是成功备案。备案流程是:定级→准备备案材料→提交备案材料到公安机关审核→等待发证。
 
1.定级
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
 
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
 
2.备案
企业最终确定信息一体化平台系统的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
 
公安机关会对材料进行审核,一般会在10日内给予反馈,通过即会发放等保备案证明。
 
二、信息一体化平台等级测评怎么做?费用多少?
 
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。备案成功之后,企业就可以寻找合适的测评机构来给平台系统进行测评,测评机构至少需要具备《信息安全等级测评推荐证书》。企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。
 
测评机构收费方面,具体的服务费用会因为省市不同、测评项目不同、行业不同等而有所差异。但一般来说,二级系统测评费用4万元起步,三级系统测评费用7万元起步。
 
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
 
三、信息一体化平台等级保护整改
 
测评机构结束测评之后,会按照公安机关提供的模板,撰写《测评报告》,如果测评通过,企业将《测评报告》提交公安机关即可;如果不通过,就需要根据测评发现的安全问题进行整改。
 
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
 
等级保护整改没有什么资质要求,只要企业可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改,比如中联科技。
 
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
 
整改结束之后,测评机构对信息系统重新测评,然后企业将新的测评报告和整改报告一并提交公安机关,就算是通过了三级等保认证。
 
中联科技是等保标准制定的参与者之一,在详细整理国家相关等保规范的基础上,中联科技整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,为各大企业提供等保项目的一站式服务全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助企业高效、合规落实等级保护,获得等级保护认证。
0
上一篇:医疗行业网络安全等级保护政策汇总 ← 下一篇:信息安全等级保护认证二级也要收费? →