哪些产品要做等保?等保测评流程是什么
等保测评是国家为保障信息系统安全制定的强制性合规要求,适用于所有处理公民隐私、国家机密或提供公共服务的系统。测评对象涵盖政务、金融、医疗、教育、能源等关键领域的信息系统,以及云计算、物联网、工业控制等新兴技术场景,需根据业务重要性确定安全等级,并通过技术检测与管理评估双重验证合规性。
一、需要开展等保测评的产品类型
核心标准:所有涉及用户数据存储、处理或提供公共服务的信息系统均需开展等保测评,具体包括:
1.政府与公共服务系统
政务云平台、税务系统、社保系统、公安系统等。
医疗健康系统:医院HIS系统、电子病历系统、互联网诊疗平台。
教育系统:高校核心业务系统、中小学管理系统、在线教育平台。
2.关键基础设施行业
能源与公共事业:电力调度系统、石油化工控制系统、烟草行业系统。
交通运输:民航、铁路、城市交通监控系统。
电信与通信:运营商核心网络、用户数据管理系统。
3.金融与数据密集型行业
金融行业:银行核心系统、证券交易系统、保险业务系统、互联网金融平台。
互联网与数据服务:云计算平台、大数据中心、物联网企业、快递物流系统。
4.新兴技术领域
工业控制系统:智能制造、工业互联网平台。
征信与软件开发:征信机构、承接政务/金融项目的软件企业。
二、等保测评流程(五步闭环)
1.定级备案
确定定级对象:涵盖基础网络、工业控制、云计算、物联网等,单一设备不单独定级。
等级判定:依据业务信息/系统服务受破坏时对公民权益、社会秩序、国家安全的侵害程度,通过矩阵表确定等级(如“严重损害社会秩序”为第三级)。
备案材料:提交《定级报告》《备案表》,含系统基本信息、安全责任主体、技术架构描述等,二级及以上需专家评审与主管部门核准。
2.差距测评
测评维度:
技术要求:安全物理环境、通信网络、区域边界、计算环境、管理中心。
扩展场景:云计算、物联网、工业控制等特殊技术要求。
测评方法:
人工核查:安全配置、文档合规性。
工具测试:漏洞扫描、渗透测试、日志分析。
3.安全整改
技术建设重点:
物理安全:部署UPS冗余电源、电子门禁、温湿度监控。
网络安全:划分安全区域,部署防火墙、抗DDoS设备,启用HTTPS加密传输。
设备安全:操作系统补丁管理、数据库审计、主机防病毒,落实账户锁定机制。
数据安全:敏感数据加密存储,定期异地备份。
管理配套:制定安全策略、人员培训计划,明确安全管理机构与岗位职责。
4.验收测评
验收标准:测评结论分优(≥90分)、良(≥80分)、中(≥70分)、差(<70分或高风险),需提交《等级测评报告》至公安机关备案。
复测周期:二级系统每两年测评一次,三级及以上每年一次。
5.监督检查
公安机关核查:通过资料查阅、现场查验等方式,核查定级备案合规性、安全设施落实情况及整改效果,确保持续符合等级保护要求。
三、等保测评注意事项
1.提前规划与准备
熟悉流程与标准:提前了解测评流程、标准和要求,确保材料准备齐全。
系统自查:对系统进行全面自查,发现并解决潜在安全隐患,避免测评中暴露高风险问题。
2.选择专业机构
资质审核:选择具有丰富经验和专业资质的测评机构,确保测评人员具备相应技术背景。
合同与保密协议:明确测评范围、周期、费用及责任条款,签订保密协议,防止数据泄露。
3.数据安全与隐私保护
技术措施:在测评过程中,采取加密存储、访问控制等技术手段,防止数据泄露、篡改或丢失。
管理措施:建立数据安全管理制度,明确数据使用权限和流程,确保测评人员仅访问必要数据。
4.客观公正与记录留存
测评过程公正:测评应客观公正,不受利益关系影响,如实报告问题并提供解决方案。
详细记录:记录测评步骤、发现问题、采取措施及建议,确保记录清晰、准确并妥善保存,以备后续查阅和审计。
5.合规性与持续改进
法律合规:严格按照《网络安全法》《信息安全等级保护管理办法》等法规操作,避免法律风险。
持续监测:定期复测,及时修复新发现的安全隐患,保持系统安全状态。
6.沟通与协作
与客户保持沟通:及时反馈测评进度和问题,耐心解答客户疑虑,确保测评工作顺利推进。
内部协作:建立跨部门协作机制,确保技术、管理、业务部门共同参与测评和整改工作。
测评流程分为定级备案、差距分析、整改实施、测评验收和持续监督五步。企业需先完成系统定级与公安机关备案,再通过漏洞扫描、渗透测试等技术手段识别安全风险,针对性部署防火墙、加密设备等技术措施,并完善安全管理制度。测评通过后需定期复测,确保系统持续符合等保要求,避免因安全漏洞面临法律处罚。
