办理信息系统安全等级保护的流程
来源:本站
作者:中联信科
日期:2021-04-22 11:52:30
浏览:
777
由于对等保不够了解,很多单位难免把等保工作想得过于复杂,从而饶了很多弯路。但只要找对方法,等保工作其实很简单。今天就教大家三步落实等保工作,思路超清晰!
一、中联科技定级备案工作
1 |
全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况。 |
2 |
科学确定网络的安全保护等级。 |
3 |
对第二级以上网络依法向公安机关备案,并向行业主管部门报备。 |
4 |
对新建网络,应在规划设计阶段确定安全保护等级。 |
5 |
公安机关进行备案审核。 |
二、定期开展网络安全等级测评
1 |
依据《网络安全等级保护测评要求》等有关标准,对网络进行检测评估,查找可能存在的网络安全问题和隐患。 |
2 |
第三级以上网络运营者应委托等级测评机构,每年开展一次网络安全等级测评。 |
3 |
新建第三级以上网络应在通过等级测评后投入运行。 |
4 |
公安机关加强对等级测评机构的监督管理。 |
三、科学开展安全建设整改
1 |
落实“同步规划、同步建设、同步使用”三同步要求。 |
2 |
依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,按照“一个中心、三重防护”要求,应用可信计算等新技术开展安全建设和整改加固,提高内生安全、主动免疫、主动防御能力。 |
3 |
可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平。 |
4 |
完善人员管理、教育培训、系统建设和运维等管理制度。 |
最后,落实等保工作,行业主管部门、网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求,建立网络安全等级保护工作责任制,落实责任追究制度,做到“守土有责、守土尽责”。网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
对于信息系统保护等级是第三级及以上的企业而言,其还需要加强网络关键人员的安全管理:
1 |
应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估风险,并采取相应的管控措施。 |
2 |
应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。 |
3 |
应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务。 |
《密码法》等有关法律法规规定和密码应用相关标准规范也需要贯彻落实:
1 |
第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。 |
2 |
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。 |