安全資訊

安徽企業(yè)要想合規通過(guò)信息系統安全等級保護，需要按照等級保護的辦理流程，做好每一步。本篇文章依據等保2.0相關(guān)標準，并結合等保標準制定參與者之一靈狐科技的等保服務(wù)經(jīng)驗，為安徽企業(yè)提供信息系統安全等級保護合規通過(guò)方案。方案在手，等保合規小case！
 
一、安徽信息系統安全等級保護定級備案
 
定級依據是《信息系統安全等級保護定級指南》。定級流程為：確定定級對象→初步確定等級→專(zhuān)家評審→主管部門(mén)審核→公安機關(guān)備案審查→最終確定的等級。
 
定級之后，就可以準備備案材料進(jìn)行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。
 
二級及其以上的信息系統運行使用單位或主管部門(mén)在備案時(shí)需要提交的資料有：① 信息系統安全定級報告紙質(zhì)材料，一式兩份；② 信息系統安全備案表紙質(zhì)材料，一式兩份；③上述備案的電子檔，并制作出光盤(pán)提交。
 
第三級以上信息系統同時(shí)提供以下材料：（一）系統拓撲結構及說(shuō)明；（二）系統安全組織機構和管理制度；（三）系統安全保護設施設計實(shí)施方案或者改建實(shí)施方案；（四）系統使用的信息安全產(chǎn)品清單及其認證、銷(xiāo)售許可證明；（五）測評后符合系統安全保護等級的技術(shù)檢測評估報告；（六）信息系統安全保護等級專(zhuān)家評審意見(jiàn)；（七）主管部門(mén)審核批準信息系統安全保護等級的意見(jiàn)。
 
備案材料準備好之后，需提交屬地公安機關(guān)網(wǎng)安部門(mén)審核。對符合等級保護要求的，在收到備案材料之日起的10個(gè)工作日內頒發(fā)信息系統安全等級保護備案證明；發(fā)現不符合本辦法及有關(guān)標準的，在收到備案材料之日起的10個(gè)工作日內通知備案單位予以糾正。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：協(xié)助企業(yè)開(kāi)展定級備案，包括但不限于聯(lián)系專(zhuān)家評審，填寫(xiě)、準備備案材料，并提交公安機關(guān)審核。
 
二、安徽信息系統安全等級保護加固整改
 
等保整改指企業(yè)根據等級保護建設要求，對信息和信息系統進(jìn)行網(wǎng)絡(luò )安全升級，對定級對象當前不滿(mǎn)足要求的進(jìn)行建設整改，包括技術(shù)層面的整改，也包括管理方面的整改。
 
一般來(lái)說(shuō)，企業(yè)需要整改的比較常見(jiàn)的系統安全問(wèn)題包含以下三類(lèi)：
①安全管理制度不完善或缺失問(wèn)題
整改建議：1、向測評機構或者做得好的單位借鑒一些成熟的安全管理制度，然后根據自己?jiǎn)挝坏膶?shí)際情況進(jìn)行細化，變?yōu)樽约旱陌踩芾碇贫润w系；2、請測評機構或相關(guān)單位進(jìn)行專(zhuān)門(mén)的安全制度體系建設。
 
②漏洞補丁類(lèi)、安全策略調整類(lèi)、安全加固類(lèi)、網(wǎng)絡(luò )結構調整類(lèi)問(wèn)題
這類(lèi)問(wèn)題的整改我們統稱(chēng)為安全服務(wù)整改建設，整改需要做到：把安全設備配置合適合規的策略，主機及應用做應有的加固，關(guān)閉不必要的端口，對高危漏洞進(jìn)行打補丁，合理劃分不同網(wǎng)絡(luò )區域等等。
整改建議：1、企業(yè)可以讓自己的技術(shù)人員解決這些問(wèn)題，同時(shí)尋找系統集成商、軟件開(kāi)發(fā)商協(xié)助解決；2、尋找有實(shí)力的測評機構或安全服務(wù)商來(lái)解決這些問(wèn)題。
 
③設備缺失或不足問(wèn)題
設備缺失或不足問(wèn)題主要指什么呢？比如根據等級測評報告，企業(yè)的信息系統沒(méi)有入侵檢測設備或者防火墻里不帶有入侵檢測功能，但又必須滿(mǎn)足這個(gè)條件，企業(yè)就需要新增入侵檢測設備。當然，由于實(shí)際情況不同，企業(yè)需要新增的設備有優(yōu)先級的不同，一些設備需要當下就立即新增，一些設備則可以后續再慢慢新增。
整改建議：根據實(shí)際情況，制定設備新增計劃，省時(shí)省力省錢(qián)。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：針對定級備案系統所在的系統環(huán)境進(jìn)行調研，以分析信息系統當前風(fēng)險狀況，明確等級保護整改需求和重點(diǎn)。同時(shí)提供等級保護安全整改與加固服務(wù)，包括重要信息系統相關(guān)的網(wǎng)絡(luò )結構化設計，網(wǎng)絡(luò )安全、服務(wù)器主機、數據庫系統、中間件系統等設備的采購及部署，產(chǎn)品集成實(shí)施、主機安全基線(xiàn)配置、應用及數據庫安全配置、主機及應用打補丁、安全審計策略配置、應用代碼整改等內容。
 
安徽信息系統安全等級保護等級測評
 
等級測評是測評機構依據國家信息安全等級保護制度規定，受有關(guān)單位委托，按照有關(guān)管理規范和技術(shù)標準，運用科學(xué)的手段和方法，對處理特定應用的信息系統，采用安全技術(shù)測評和安全管理測評方式，對保護狀況進(jìn)行檢測評估，判定受測系統的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿(mǎn)足所定安全等級的結論，針對安全不符合項提出安全整改建議。
 
等級測評需要具備一定的資質(zhì)，測評機構至少得具備信息安全等級測評推薦證書(shū)。我們的技術(shù)人員將全程協(xié)助測評機構測評工作的開(kāi)展。