信息系统网络安全等级保护二级认证如何申请
来源:本站
作者:中联信科
日期:2021-07-12 17:17:37
浏览:
920
我国实行网络安全等级保护制度,等级保护认证指企业按照等级保护的建设标准,通过定级、备案、安全建设(整改)、等级测评、监督检查等环节,让企业的信息系统符合国家安全建设要求。中联信科为各企业提供二级信息系统网络安全等级保护认证申请步骤,需要的企业可收藏:
一、信息系统定级
信息系统的保护等级被分为五个级别,五个级别的差别如下表所示:
|
等保级别 |
适用信息系统及行业 |
信息系统破坏后侵害程度 |
第一级
(自主保护级) |
一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。 |
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 |
第二级
(指导保护级) |
一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 |
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 |
第三级
(监督保护级) |
一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。 |
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 |
第四级
(强制保护级) |
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。 |
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 |
第五级
(专控保护级) |
一般适用于国家重要领域、重要部门中的极端重要系统。 |
信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。 |
企业确定自己需要做等级保护的信息系统之后,就可以根据确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级的定级流程,对信息系统进行定级。
二、信息系统备案
定级完成之后,企业需要准备相应材料,到公安机关进行备案。备案材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
材料提交之后,就可以耐心等待公安机关的审核,若审核通过,公安机关会颁发备案证明;若不通过,公安机关也会给予反馈。
三、信息系统的测评整改
之所以把信息系统的测评和整改连在一起,是因为基本上所有企业都必须进行整改,才能通过等级测评。等级测评指申办单位委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告;整改指企业按照等级保护的相关标准,将信息系统中的不符合项变为符合,降低信息系统安全风险。
一般来说,大多数企业都是先委托专业的测评机构来进行测评,然后再根据测评机构给出的整改清单进行整改。整改完成之后,重新测评,测评通过之后,就可以将测评报告、整改报告等提交公安机关。只有成功通过等级测评,企业才算是真正落实了等级保护,获得等级保护认证。
一般来说,企业需要整改的比较常见的系统安全问题包含以下三类:
①安全管理制度不完善或缺失问题
整改建议:1、向测评机构或者做得好的单位借鉴一些成熟的安全管理制度,然后根据自己单位的实际情况进行细化,变为自己的安全管理制度体系;2、请测评机构或相关单位进行专门的安全制度体系建设。
②漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类问题
这类问题的整改我们统称为安全服务整改建设,整改需要做到:把安全设备配置合适合规的策略,主机及应用做应有的加固,关闭不必要的端口,对高危漏洞进行打补丁,合理划分不同网络区域等等。
整改建议:1、企业可以让自己的技术人员解决这些问题,同时寻找系统集成商、软件开发商协助解决;2、寻找有实力的测评机构或安全服务商来解决这些问题。
③设备缺失或不足问题
备缺失或不足问题主要指什么呢?比如根据等级测评报告,企业的信息系统没有入侵检测设备或者防火墙里不带有入侵检测功能,但又必须满足这个条件,企业就需要新增入侵检测设备。当然,由于实际情况不同,企业需要新增的设备有优先级的不同,一些设备需要当下就立即新增,一些设备则可以后续再慢慢新增。
整改建议:根据实际情况,制定设备新增计划,省时省力省钱。 
