APP等保测评必不可少,如何才能合规拿证?

来源:本站 作者:中联信科 日期:2021-05-18 17:30:51 浏览: 755
进入等保2.0时代以来,等级保护对象范围扩大,除了信息系统要做等保,公众号、小程序、APP、网站等也在等级保护范围之内。并且,有些行业还发出了强制落实等级保护的要求,比如《关于引导规范教育移动互联网应用有序健康发展的意见》,教育APP必须取得等保备案证明和等级测评报告,才能进行业务备案,并且设定了教育APP做等级保护的限期。
北京中联信科等保测评认证三级等保APP等保
 
现如今,伴随着智能手机市场的不断扩张以及智能手机的不断发展,手机APP软件用户群体不断扩大,APP发展速度越来越快。但是,在APP发展速度越来越快的同时,APP的安全问题却引起了人们的高度注意,最引人关注的莫过于APP个人信息泄露和获取权限的问题。让APP合规运行,同时保障APP用户权益和信息安全,APP是必须要做等级保护的。
 
APP等级保护从大的层面来说,分为APP备案和APP测评,APP上线需要取得的证明也是等保备案证明和等保测评报告。备案是测评的前提,只有成功备案,才能进行测评。让APP顺利落实等级保护,成功通过测评并拿证,这里提供解决方案:
 
一、APP等级保护如何备案?
 
APP的等保备案需要先定级(1-5级),定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
 
其中,专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
 
此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。
 
确定APP保护等级之后,就可以准备相关备案材料到公安机关进行等保备案,备案材料主要是《信息系统安全等级保护备案表》,同时还需要提供:①系统拓扑结构及说明;②系统安全组织机构和管理制度;③系统安全保护设施设计实施方案或者改建实施方案;④系统使用的信息安全产品清单及其认证、销售许可证明;⑤测评后符合系统安全保护等级的技术检测评估报告;⑥信息系统安全保护等级专家评审意见;⑦主管单位核准信息系统安全保护等级的意见。
 
公安机关服务窗口会对备案材料进行审查,如审核通过,公安机关会出具《信息系统安全等级保护备案证明》。审核不通过,就根据公安机关的意见重新定级或者补足备案材料。
 
二、APP等级保护如何通过测评?
 
等保二级以上的APP需要做等级保护测评,等保测评得分要在70分以上,且信息系统没有高风险项才算通过。APP要想通过测评,需要按照等级保护要求,提升APP的安全防护水平,然后寻找合适的测评机构来进行测评,测评机构可以按照公安机关推荐的测评机构名单来进行选择。测评机构会提供测评报告。
 
根据等级保护相关标准,APP要想通过等级保护测评,需要注意以下几个方面:
 
1.移动终端安全防护 
针对移动终端的安全,标准主要对移动终端的安全环境、应用安装管控、终端自身安全进行了要求,如应将移动终端处理访问不同等级保护对象的进行应用级隔离;应具有软件白名单功能,能根据白名单控制应用软件安装、运行;移动终端应接受等级保护对象移动终端管理服务端的设备生命周期管理、设备远程控制、设备安全管控。
 
2.移动应用安全防护
针对移动应用APP被篡改、被假冒的问题,标准要求采用校验技术保证代码的完整性。同时,应保证等级保护对象业务移动应用软件开发后、上线前经专业测评机构安全检测等。针对移动应用APP发布的问题,在移动应用APP发布渠道与管理中要求应保证移动终端安装、运行的应用软件来自可靠证书签名或可靠分发渠道。
 
3.移动互联安全管理
在安全管理方面,标准要求建立移动互联安全管理制度,对移动终端实施安全控制和管理。设置移动互联安全管理员,明确管理职责。加强终端设备管理,在移动终端设备丢失后进行远程数据擦除。在系统建设前要求根据信息系统的安全保护等级进行移动互联安全方案设计,并且纳入了系统总体方案设计。
 
如果企业自身无法根据等保标准提升APP的安全防护水平,可以委托专业的等保服务机构来做这一项工作,比如青莲网络。在青莲网络的帮助下,APP最快可以在一个月内取得等保备案证明和通过测评。如下是青莲网络曾经做过的一个教育APP二级等保案例:
 
某教育机构旗下APP提供在线视频学习、练习、考试、答疑,内容包括精讲、串讲、模考、答疑、直播,涉及自考、成考、职业资格等教育,为了满足主管单位要求和APP安全要求,该APP需要拿到二级等保备案证明,同时通过等级保护测评。
 
基于该教育APP的实际情况和等保标准,青莲网络提供了这样的等保服务:
1.由于该机构没有做过等保,因此,青莲网络提供了一站式的等保合规建设指导服务;
2.协助定级,并准备备案材料,让APP成功取得备案证明;
3.根据APP存在的安全问题设计了整改方案,使得APP安全满足等级保护要求,让APP成功通过等级测评。
 
在中联信科的服务下,该教育APP成功落实了等级保护,取得了巨大的收益:
1.履行了安全义务,满足上级监管单位要求
依据等级保护国家标准对APP进行安全等级保护建设以及测评,履行了网络安全义务。
2.充分利用多种安全技术手段,提升了APP业务系统边界保护能力
依据相关等级别保护设计标准,通过部署waf以及网页防篡改系统等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了该单位边界抵御内部攻击行为的能力。
3.明确人员安全管理职责,提高了系统安全运维安全管理水平
配合大量的咨询、服务的配合与支撑,该教育机构业务系统安全运维效率和管理水平显著提高。
上一篇:网站等保怎么做?网站信息安全等级保护测评报告为你指路 ← 下一篇:企业信息安全等级保护三级认证办理 →