如何解决信息安全等级保护测量问题?信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息、公共信息、存储、传输和处理信息的信息系统进行分级安全保护,对信息系统中使用的信息安全产品进行分级管理,对信息系统中发生的信息安全事件进行分级响应和处理。
信息安全等级保护评估流程:
信息系统分级、备案、安全建设整改、等级评估、监督检查。
信息安全等级保护评估分为五个等级:
1、在不损害国家安全、社会秩序和公共利益的前提下,损害公民、法人及其他组织的合法权益,并对其造成损害;
2.等级保护对象被破坏后,会严重损害公民、法人等组织的合法权益,或者损害社会秩序和公共利益,但不损害国家安全;
3、等级保护对象遭到破坏后,会对公民、法人及其他组织的合法权益造成特别严重的损害,或对社会秩序和公众利益造成严重损害,或损害国家安全;
4.等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重
等级保护对象被破坏后,将对国家安全造成特别严重的损害。定级范围包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
信息安全等级保护评估备案:
等待评估工作是一项全过程的工作,想要做等待评估的单位,首先要做的是定级备案。
第一步,系统定级;
第二步,系统备案。
系统分级主要是填写备案单位情况表、分级系统情况表和分级报告,共4个表格(二级系统三个表格,三级系统四个表格)和一个分级报告。填写完这些分级信息后,打印两份,刻录一份电子文件,并在纸质文件单位首页加盖备案单位公章。
这样,我们的系统分级备案材料就准备好了。
评估单位确定等级后,应当向当地市级以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。警察部门对信息系统的申报情况进行审查,在符合要求的10个工作日内发放等级保护申报证书。
如通过后将获得纸质定级备案资料,但此时备案资料加盖公安机关公章,并有系统备案证明。如果失败,公安部门会指出具体问题,如分级不准确、数据不全等,重新填写分级数据后再提交备案工作。
选择合适的测评机构进行测评很重要噢!
信息安全等级保护测评到底测哪些内容呢?
主要测评以下两个层面:在技术方面:物理安全、主机安全、网络安全、应用安全以及数据的安全性;
管理层:安全管理体系、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理。
技术层面具体的对象是:
1.机房,本评估单位将对重要信息系统的机房、配电室、消防室等相关物理环境进行评估,分析问题和不符合要求的地方。
2.业务应用软件,评估单位将评估信息系统运行用户的重要信息系统,从应用软件的安全机制方向分析应用系统中的安全隐患和问题。
3.对于主机操作系统,评估单位将从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面对信息系统运行用户重要信息系统相关服务器的操作系统进行评估。
4.数据库系统,该评估单位将评估信息系统运行中使用的重要信息系统的数据库,并从身份识别、访问控制、安全审计和资源控制方向分析安全隐患和问题。
5.对于网络设备,评估单位将评估信息系统运行中使用单位重要信息系统的网络设备,并从访问控制、安全审计、网络设备保护等方面分析安全隐患和问题。
具体测评内容控制点及要求项比较多,统计如下:二级系统控制点66个,要求项175;三级系统控制点73个,要求项290个。
经过等级保护评估,我们得到的结果主要是:被测系统获得的备案证明、等级保护评估报告和安全建设整改方案。
结论如下:我们的系统信息安全防护能力经过等级保护测评后得到了提高,安全风险也得到了有效的降低,但前提是我们对安全问题进行了一定的整改。
近来许多地方都开始在全国各地进行安全检查,有关部门上门检查部分内容就会发现有没有进行分级保护工作,这方面的情况我们已经做了不少。
由于很难从你购买什么安全设备来判断你的安全工作已经做好了,没有任何安全风险,而等保虽然不能证明你的安全,但至少等保是绝对不会对你的信息系统整体性做一个安全评估,相对可靠,也是书本性的资料。
最后补充一句,看起来等保的内容很多,许多用户担心会给自己增加很多工作内容,其实这个担心是多余的,真正做等保的过程中,一般只需要一到两个对你们单位系统情况、网络设备比较了解的人配合就可以了,其实这个担心是多余的也是错误的,真正做等保的过程中,如果单位不做等保这样的工作要做大量的工作,实际上这个担心是多余的,而且不是因为做了等保的工作,而是要做大量的工作,所以要做的就是为了让这些问题更早地解决,让这些问题看起来就像等保一样要做的一样。
想要了解更多“信息安全等级保护测评”的信息,欢迎咨询天磊咨询!