小程序也需要做等保,不仅要申请等级保护备案,还要通过测评。等保1.0时代,大家明确知道的就是信息系统需要做等级保护。但是时代在变化,为了适应这个变化,等保1.0也进阶到了等保2.0。等保2.0最明显的一个调整就是等级保护对象范围的扩大,不仅信息系统需要做等保,网站、APP、小程序、公众号等也要做等保。某些行业还出台了对应的标准,不做等级保护,网站、APP等甚至都无法上线运行。
那么,小程序等级保护备案、测评怎么做呢?
1.小程序的等保备案仍然需要先定级(1-5级),定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
其中,专家评审级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。
2.确定小程序的安全保护等级之后,就可以准备相关备案材料到公安机关进行等保备案,备案材料主要是《信息系统安全等级保护备案表》,同时还需要提供:
①系统拓扑结构及说明;
②系统安全组织机构和管理制度;
③系统安全保护设施设计实施方案或者改建实施方案;
④系统使用的信息安全产品清单及其认证、销售许可证明;
⑤测评后符合系统安全保护等级的技术检测评估报告;
⑥信息系统安全保护等级专家评审意见;
⑦主管单位核准信息系统安全保护等级的意见。
公安机关服务窗口会对备案材料进行审查,如审核通过,公安机关会出具《信息系统安全等级保护备案证明》。
3.对于等保二级以上的小程序来说,备案之后还要做等保测评。等保测评得分要在70分以上,且信息系统没有高风险项才算通过。
备案成功后,小程序还要做测评。等保2.0时代,小程序等保测评得分要在70分以上,且信息系统没有高风险项才算通过。测评由测评机构来执行,测评机构一般会对小程序进行两次测评,次是差距测评,主要是发现小程序存在的安全问题,然后交由小程序负责人进行整改;第二次是验收测评,经过整改,小程序安全状况基本符合等级保护要求,测评通过。测评机构会出具《测评报告》,负责人将测评报告和整改报告一起提交公安机关进行备份即可。一句话,小程序要想通过等级保护测评,等级保护整改非常重要,必须对照等保标准,将不符合等保要求的部分一一调整,如果企事业单位技术人员不足,无法完成整改,可以委托第三方等保整改/安全机构来做。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询