上周,有个客户来咨询我,说他们在某三甲医院有个新项目,甲方要求系统必须满足等保三级要求,但是客户对等保这方面又比较陌生,特地过来问问我什么是等保三级,需要做哪些内容,该怎么做?
今天就借这个机会,来说说“等保测评”这点事。
等保,全称“网络安全等级保护”,是国家为加强网络安全工作而制定的一项基本制度,通过对信息和信息载体的重要程度进行等级划分,要求各行业根据不同的安全等级,实施相应的安全保护措施。
那等级保护必须做吗,不做可以吗?答案是必须做,不做不行。
在《中华人民共和国网络安全法》第二十一条中有着明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第五十九条也提到,网络运营者不履行第二十一条规定且造成危害的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
而且《信息安全等级保护管理办法》中第四十条也有规定,第三级以上信息系统未按规定备案、审批的,未开展系统安全技术测评的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;若是造成损害,由相关部门依照有关法律、法规予以处理。
也就是说,如果不做等级保护测评,首先面临的是不合规,会被上级主管单位问责,再一个是,如果信息系统被恶意攻击,除了影响业务运行外,还会被网信部门通报罚款。
就比如,广州某医院建设运营的“电子病历EMR系统”被确定为三级网络,但自投入运行以来,医院一直未按规定对其安全等级状况开展等级保护测评,被广州警方作出行政处罚,并作为典型案例进行宣传;衡南县某医院未履行数据安全保护义务,被处罚款5万元的行政处罚,同时对第三方技术公司及相关责任人处以1.2万元罚款。
那既然要做,又该怎么做,测评流程是什么?
按照等保2.0要求,等保测评要经过定级、备案、建设整改、等级测评、监督检查五个基本步骤。
等级保护分为五个等级,第一级自主保护级,第二级导保护级,第三级监督保护级,第四级强制保护级,第五级专控保护级。
我们常见的是第二级和第三级。第一级是用户自主保护,不用进行备案测评,第四级和第五级一般用于国家重要领域、重要部门中的极端重要系统,由公安部等相关部门安排进行测评。
要注意的是,二级系统至少每两年进行一次测评,三级系统至少每年进行一次等级测评。
不管是二级系统,还是三级系统,系统定级时都需要组织三名及以上专家进行评审,其中一名必须是高级专家。
区县级单位定级备案需要先将资料交给区县网安大队,再由区县网安大队转交地级市网安支队,地级单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队。
对于二级系统,三级系统备案时还需要额外准备《单位系统拓扑图及说明》、《安全产品清单》、《信息安全工作管理制度》、《网络安全等级保护等级测评报告》,其中测评报告可以在备案完成后30日内提交。
虽然二级系统规定上不需要准备《单位系统拓扑图及说明》,但实际操作时还是要求提交。而且是事业单位的,需要准备《单位办公地证明》、是自建机房的,需要准备《自建机房情况说明》。(有需要的话,回复“等保备案材料”获取)
等保测评的重点是建设整改和系统测。如果相关经费没有落实到位的情况下,也可以先做定级备案和差距分析,形成建设整改方案和计划,等经费到位后再做建设整改和系统测评等工作。
在这个阶段,被测单位的工作就相对轻松一些,前期只需要配合测评单位填写测评调研表即可,调研表内容一般为单位基本信息、被测对象基本情况、机房情况、网络拓扑图及说明、资产清单、数据资源、安全相关人员信息、管理制度等。
填写材料中遇到不会写的不用怕,尽管问测评人员,他们会协助填写,实在不会的他们也会想办法解决。: )
测评过程中,测评人员会根据《信息安全技术 网络安全等级保护测评过程指南》对被测对象进行合规性检查和漏洞扫描。对于网络设备、服务器、安全设备等,测评人员一般也只会抽选检查,但会覆盖所有类别。
二级系统和三级系统在这个阶段主要是测评指标多少的区别,二级系统测评内容相对较少,只需要检查135项,而三级系统除了涵盖二级的所有要求外,还对网络安全事件应急处置、安全防护等方面有更多的要求,三级系统需要检查211项内容。
不过也不用过于紧张,不是所有测评项都必须满足,保持分数在75-85分之间即可,分数过高或过低都可能会引起网信部门过多关注,毕竟垫底和优秀都是会被拉出来当典型宣传…
测评中发现的高风险项都必须整改,在高风险项都整改完的前提下,挑选较容易整改的不符合项进行整改,满足合格分数后,通知测评单位进行复测。拿到测评报告后,提交给网信部门后即可获得信息安全等级保护备案证书。
祝所有读者顺利通过等保测评。: )
安全领域很大
唯有不断地思考和学习
才能让我们走得更远
共勉
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
扫码领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
