安全資訊

《信息安全等級保護定級指南》規定，只要符合以下三個(gè)特征，就必須進(jìn)行等級保護備案。如果符合以下三個(gè)特征，并且安全保護等級是二級及以上，還必須通過(guò)等級保護測評，網(wǎng)站也不例外。等級保護定級對象的三大基本特征：

①具有確定的主要安全責任主體；

②承載相對獨立的業(yè)務(wù)應用；

③包含相互關(guān)聯(lián)的多個(gè)資源。

如果企業(yè)不給網(wǎng)站做等保，會(huì )面臨嚴重的后果。舉個(gè)例子，四川宜賓市翠屏區教師培訓與教育究中心網(wǎng)站自上線(xiàn)運行以來(lái)，始終未進(jìn)行網(wǎng)絡(luò )安全等級保護的定級備案、等級測評等工作，未落實(shí)網(wǎng)絡(luò )安全等級保護制度，未履行網(wǎng)絡(luò )安全保護義務(wù)，導致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入事件。根據《網(wǎng)絡(luò )安全法》第二十一條和五十九條之規定，內鄉縣公安局網(wǎng)安大隊依法對四川宜賓市翠屏區教師培訓與教育研究中心被處一萬(wàn)元罰款，法人代表唐某某被處五千元罰款。

那么，如果網(wǎng)站符合以上三個(gè)特征，且信息系統為二級及以上，要怎么做等級保護呢？網(wǎng)站信息系統安全等級保護辦理步驟解讀來(lái)啦！

1.網(wǎng)站系統定級

根據等級保護相關(guān)管理文件，等級保護對象的安全保護等級一共分五個(gè)級別，從一到五級別逐漸升高。等級保護對象的級別由兩個(gè)定級要素決定：①受侵害的客體；②對客體的侵害程度。對于關(guān)鍵信息基礎設施，“定級原則上不低于三級”，且第三級及以上信息系統每年或每半年就要進(jìn)行一次測評。

定級流程：確定定級對象→初步確定等級→專(zhuān)家評審→主管部門(mén)審批→公安機構備案審查→最終確定的級別。

2.網(wǎng)站系統備案

根據《網(wǎng)絡(luò )安全法》規定：

①已運營(yíng)（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內（等保2.0相關(guān)標準已將備案時(shí)限修改為10日內），由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。

②新建第二級以上信息系統，應當在投入運行后30日內（等保2.0相關(guān)標準已將備案時(shí)限修改為10日內），由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。

③隸屬于中央的在京單位，其跨省或者全國統一聯(lián)網(wǎng)運行并由主管部門(mén)統一定級的信息系統，由主管部門(mén)向公安部辦理備案手續。

④跨省或者全國統一聯(lián)網(wǎng)運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關(guān)備案。

企業(yè)最終確定網(wǎng)站的級別以后，就可以到公安機關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料：

（一）系統拓撲結構及說(shuō)明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實(shí)施方案或者改建實(shí)施方案；

（四）系統使用的信息安全產(chǎn)品清單及其認證、銷(xiāo)售許可證明；

（五）測評后符合系統安全保護等級的技術(shù)檢測評估報告；

（六）信息系統安全保護等級專(zhuān)家評審意見(jiàn)；

（七）主管部門(mén)審核批準信息系統安全保護等級的意見(jiàn)。

3.網(wǎng)站系統安全建設（整改）

等級保護整改是等保建設的其中一個(gè)環(huán)節，指按照等級保護建設要求，對信息和信息系統進(jìn)行的網(wǎng)絡(luò )安全升級，包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統的安全防護能力，讓企業(yè)可以成功通過(guò)等級測評。

等級保護整改沒(méi)有什么資質(zhì)要求，只要公司可以按照等級保護要求來(lái)進(jìn)行相關(guān)網(wǎng)絡(luò )安全建設，由誰(shuí)來(lái)實(shí)施，是沒(méi)有要求的。但由于目前企業(yè)網(wǎng)絡(luò )安全人才緊缺，企業(yè)很多時(shí)候都需要尋找專(zhuān)業(yè)的網(wǎng)絡(luò )安全服務(wù)公司來(lái)進(jìn)行整改。

整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導和責任部門(mén)，落實(shí)安全崗位和人員，對安全管理現狀進(jìn)行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質(zhì)管理安全監測等。

技術(shù)整改主要是指企業(yè)部署和購買(mǎi)能夠滿(mǎn)足等保要求的產(chǎn)品，比如網(wǎng)頁(yè)防篡改、流量監測、網(wǎng)絡(luò )入侵監測產(chǎn)品等。

4.網(wǎng)站系統等級測評

等級測評指經(jīng)公安部認證的具有資質(zhì)的測評機構，依據國家信息安全等級保護規范規定，受有關(guān)單位委托，按照有關(guān)管理規范和技術(shù)標準，對信息系統安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。物聯(lián)網(wǎng)企業(yè)等級測評需要尋找合適的測評機構來(lái)進(jìn)行測評，測評機構至少需要具備《信息安全等級測評推薦證書(shū)》。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡(luò )安全等級保護網(wǎng)查看國家推薦的有資質(zhì)的測評機構名單。

測評機構收費方面，具體的服務(wù)費用會(huì )因為省市不同、測評項目不同、行業(yè)不同等而有所差異。但一般來(lái)說(shuō)，二級系統測評費用5萬(wàn)元起步，三級系統測評費用9萬(wàn)元起步。

根據規定，對信息系統安全等級保護狀況進(jìn)行的測試應包括兩個(gè)方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統中的實(shí)施配置情況；二是系統整體測評，主要測評分析信息系統的整體安全性。其中，安全控制測評是信息系統整體安全測評的基礎。

5.監督檢查

企業(yè)要接受公安機關(guān)不定期的監督和檢查，對公安機關(guān)提出的問(wèn)題予以改進(jìn)。