等级保护工作流程有哪几个步骤?等级保护基本要求
等级保护是互联网时代保障网络安全的重要途径,等级保护工作流程有哪几个步骤?等级保护基本要求从安全技术和安全管理两个维度对等级保护对象安全提出要求,以下就是等保工作的具体步骤。
等级保护工作流程有哪几个步骤?
1.系统定级
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
2.系统备案
企业最终确定网站的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3.安全建设整改
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
4.等级测评
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
5.安全检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
等级保护基本要求
1)为适应网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。
2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须要满足的要求;针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。
4)原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;原各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”,修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
5)云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
6)移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购” 和“移动应用软件开发”等。
7)物联网安全扩展要求针对物联网的特点提出。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理” 和“数据融合处理”等。
8)工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
9)取消了原来安全控制点的S、A、G标注,增加附录A“关于安全通用要求和安全扩展要求的选择和使用描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级的S、A结果选择安全要求的相关条款,简化了标准正文部分的内容。
10)增加附录C描述等级保护安全框架和关键技术、附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。
等级保护工作流程有哪几个步骤?以上就是详细的解答,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护的基本要求、测评要求和安全设计技术要求框架统一。
