随着信息技术的发展和网络安全形势的变化,免保1.0已经无法有效应对新技术应用带来的新安全风险和新威胁。为适应新技术发展,满足云计算、物联网、移动互联网、工业控制等领域信息系统分级保护需要,公安部牵头组织开展信息技术新领域分级保护关键标准国家标准申报工作。防护正式进入2.0时代。
等保2.0的实施对企业有什么影响?
《网络安全法》第五十九条规定:网络运营者不履行义务的:有关主管部门责令改正,给予警告;拒不改正或者造成危害网络安全等后果的,处一万元以上十万元以下罚款,并对直接负责的管理人员处五千元以上五万元以下罚款元。
关键信息基础设施运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者造成危害网络安全等后果的,处十万元以上一百万元以下罚款,并对直接负责的主管人员处一万元以上一百万元以下罚款不超过10万元。
使用单位未进行等级保护评价的,需对使用单位处以1万-100万的罚款;主管人员需处5000以上10万以下罚款。
按照“谁主管、谁负责、谁使用、谁使用”的原则,网络运营商成为等级保护的责任主体,如何快速高效地通过等级保护考核已成为企业创业前必须思考的问题。
分类保险2.0共有5个操作步骤:分级、备案、建设整改、等级评估、检查。同时还分为5级,即按照重要性将信息系统从低到高分为5级,分别实施不同的保护策略。
《信息安全等级保护分类指南》规定,只要满足以下三个特征,就必须进行等级保护备案。如果满足以下三个特征,且安全防护等级为二级或以上,也必须通过等级防护评估,网站也不例外。
分级保护等级对象的三个基本特征:
有明确的安全责任主体;
承载相对独立的业务应用;
包含多个相互关联的资源。
那么,如果网站满足以上三个特征,且信息系统为二级以上,如何做等级防护呢?网站信息系统安全等级保护处理步骤解读来了!
1.网站系统评级
根据分级保护相关管理文件,分级保护对象的安全保护级别分为五个等级,从一级逐步提高到五级。保护对象的级别由两个分级要素决定:被侵害的对象; 对客体的侵害程度。对于关键信息基础设施,“等级原则上不低于三级”,三级及以上信息系统每年或每六个月进行一次评估。
分级流程:确定分级对象初步确定等级专家评审主管部门批准公安机关备案审查最终确定等级。
2、网站系统备案
根据《网络安全法》:
已运行(运行)的二级以上信息系统,应在安全防护等级确定后30日内(等级安全2.0相关标准已将备案时限修改为10日内),自运行之日起,使用单位向所在地设区的市级以上公安机关办理备案手续。
新建二级以上信息系统,应在投入运行后30日内(类险2.0相关标准已将备案时限修改为10日内),运营使用单位应向公安机关报备设区的市级以上机关办理备案手续。
北京地区中央直属单位跨省或全国统一联网运行并由信息系统主管部门统一定级的,由主管部门向公安部办理备案手续。
跨省或者全国统一网络运行的信息系统分支系统,应当向所在地设区的市级以上公安机关备案。
企业最终确定网站等级后,即可到公安机关备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统所需的备案材料有所不同。第三级以上信息系统需提供以下材料: (一)系统拓扑及描述; (二)系统安全组织管理制度; (三)系统安全防护设施设计实施方案或者改造实施方案; (四)系统使用的信息安全产品清单及其合格证、销售许可证明; (五)经评估符合系统安全防护等级的技术检查评估报告; (六)信息系统安全防护等级专家评审意见; (七)主管部门审批信息系统安全防护等级建议。
3、网站系统安全建设(整改)
等级保护整改是等级保护建设的环节之一,是指按照等级保护建设要求,对信息和信息系统进行网络安全升级,包括技术整改和管理整改。此次整改的最终目的是提高企业信息系统的安全防护能力,使企业顺利通过等级评估。
分级保护整改无资质要求。只要企业能够按照分级防护的要求进行相关的网络安全建设,并没有要求由谁来实施。但由于目前企业网络安全人才紧缺,企业往往需要寻找专业的网络安全服务公司进行整改。
整改主要分为管理整改和技术整改。管理整顿主要包括:明确领导和责任部门,落实安全岗位和人员,分析安全管理现状,确定安全管理策略,制定安全管理制度。其中,安全管理策略和制度包括人员安全管理事件处理、应急响应、设备日常运维、媒体管理安全监控等。
技术整改主要是指部署和购买能够满足保障要求的产品,如网页防篡改、流量监控、网络入侵监控产品等。
4.网站系统级别评估
等级评估是指经公安部认证的具有资质的评估机构,根据国家信息安全等级保护规范,受有关单位委托,按照相关管理规范和技术标准,进行测试和评估的活动。信息系统安全等级保护状况评价。物联网企业水平的评估需要找到合适的评估机构来进行评估。评估机构至少需要拥有《信息安全等级评估推荐证书》。物联网企业可登录中国网络安全等级防护网查看国家推荐的合格评估机构名单。
在评估机构收费方面,具体服务费用会因不同省市、不同评估项目、不同行业而有所不同。但一般来说,二级系统的评估费为4万元起,三级系统的评估费为7万元起。
根据规定,信息系统安全等级保护状况的测试应包括两个方面:一是安全控制评估,主要评估信息系统安全等级保护所需的基本安全控制的实施和配置情况。信息系统;二是系统整体评价,主要对信息系统的整体安全性进行评价和分析。其中,安全控制评估是信息系统整体安全评估的基础。
五、监督检查
企业应当接受公安机关不定期的监督检查,对公安机关提出的问题进行改进。