信息系统安全等级保护测评服务业内通行的4个关键步骤_西安等保测评定级备案
首页>>技术前沿>>网站/软件行业动态
信息系统安全等级保护测评服务业内通行的4个关键步骤
作者:西安软件开发 | 原创 来源:西安建站公司 | 时间:2019年8月29日| 点击:0次 | 【评论】

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行保护信息安全。
信息安全等级保护
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。

按照国家标准《计算机信息系统安全保护等级划分准则》规定,计算机信息系统实行五级保护。目前非银机构高保护级为第三级,金融行业通过备案、测评的信息系统一般也是三级。这是对全国金融平台平台顺利完成验收所需的硬性要求之一,也就是说平台必须通过“三级等保测评”才能够顺利通过合规备案进而实现相关监管部门顺利验收的目的。据统计,当前全国共有85家金融平台通过了三级等保测评,说明通过测评的平台只占了少数,而合规大限又近在眼前,这再一次提醒众平台合规备案时间的紧迫性。平台应明确的判断出自己是否通过合规备案中规定的等保测评要求,而不只是通过公安部信息安全保护备案。因当前合规备案时间紧迫,任务繁重,单单凭借平台的力量通过合规备案的“三级等保测评”是有一定难度的。所以选择一家专业可靠的安全运维公司,快速通过测评才是佳的选择。

信息系统安全等级保护测评服务流程一般可分为4个步骤:

(1)等级保护建设差距分析

等级保护建设项目首先要进行重要信息系统的定级和备案工作。然后针对定级备案系统所在的网络环境开展资产整理、风险评估、渗透测试等工作,以分析信息系统当前风险状况,以明确等级保护整改需求和重点。差距分析服务会输出等级保护需求分析、方案设计、项目规划、安全措施选择与选型等内容,等级保护差距分析服务是等级保护整改与加固的基础,也可以单独购买。

(2)等级保护安全整改与加固服务阶段

 等级保护安全加固服务包括重要信息系统相关的网络结构化设计,网络设备安全防护加固,服务器主机安全加固,数据库系统安全加固,中间件系统安全加固,应用服务漏洞检测与加固服务等加固工作。安全加固服务能够有效的加强等级保护的网络安全设备防护、主机安全的大部分控制点以及应用安全漏洞修复方面起到重要作用。

(3)等级保护测评辅助服务阶段

重要信息系统整改完毕后,执行一次完整的等级保护差距复查服务,按照等级保护基本要求和等级保护测评准则实施自我预测评工作,并根据测评结果弥补缺漏,为申请测评做准备。测评辅助服务还包括在等级保护测评前,网盾宝协助用户完成等级保护的重要信息系统的定级和备案工作。在等级保护测评过程中,网盾宝协助用户为测评机构提供测评数据,辅助测评工作的顺利开展。

(4)等级保护管理体系建设服务阶段

根据等级保护安全管理基本要求,为重要信息系统建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系,使信息化管理能够在等级保护要求的管理体系下长期稳定运行。

可见,只要企业完成了信息系统安全等级保护备案,并通过了权威机构的信息安全等级测评的话,就意味着企业的技术系统安全,对数据的保护能力得到了官方和专业机构的认可。也只有通过不断的完善企业网络信息系统安全,合规地运营,才能够终让企业在行业激烈的竞争中存活。在此小编需要特别提醒那些准备开展或是已经开展相关系统的登记备案工作的平台,需对三级等级保护测试有明确的认识,在开展备案后应尽快完成后续的等级测试工作,以保证整个合规备案的完整与准确性。

西安弈聪软件公司是目前国内优质的网络安全服务与解决方案专家,拥有10多年的互联网金融信息安全沉淀,具有一支高科技、分工细致的、成功实施大型项目的队伍,以打造“互联网金融生态圈”为己任,依托云端技术和大数据安全分析能力,为电商、金融、教育、云计算服务商、政府机关等行业客户提供云安全产品、服务及解决方案,帮助实现业务平台的安全、稳定运行,提高企业的安全运维管理效率,提升企业抵抗攻击的能力。

此内容DOC下载 此内容PDF下载

【全文完】
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])

版权声明:

1、弈聪软件网站内容中凡注明“来源:XXX(非西安弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“西安弈聪”的作品系本站版权所有,任何人转载请署名来源,否则西安弈聪将追究其相关法律责任。

2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。