安徽企業(yè)要想合規(guī)通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)，需要按照等級(jí)保護(hù)的辦理流程，做好每一步。本篇文章依據(jù)等保2.0相關(guān)標(biāo)準(zhǔn)，并結(jié)合等保標(biāo)準(zhǔn)制定參與者之一靈狐科技的等保服務(wù)經(jīng)驗(yàn)，為安徽企業(yè)提供信息系統(tǒng)安全等級(jí)保護(hù)合規(guī)通過(guò)方案。方案在手，等保合規(guī)小case！
 
一、安徽信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案
 
定級(jí)依據(jù)是《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》。定級(jí)流程為：確定定級(jí)對(duì)象→初步確定等級(jí)→專家評(píng)審→主管部門審核→公安機(jī)關(guān)備案審查→最終確定的等級(jí)。
 
定級(jí)之后，就可以準(zhǔn)備備案材料進(jìn)行備案。備案所需材料主要是《信息安全等級(jí)保護(hù)備案表》，不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。
 
二級(jí)及其以上的信息系統(tǒng)運(yùn)行使用單位或主管部門在備案時(shí)需要提交的資料有：① 信息系統(tǒng)安全定級(jí)報(bào)告紙質(zhì)材料，一式兩份；② 信息系統(tǒng)安全備案表紙質(zhì)材料，一式兩份；③上述備案的電子檔，并制作出光盤提交。
 
第三級(jí)以上信息系統(tǒng)同時(shí)提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。
 
備案材料準(zhǔn)備好之后，需提交屬地公安機(jī)關(guān)網(wǎng)安部門審核。對(duì)符合等級(jí)保護(hù)要求的，在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：協(xié)助企業(yè)開(kāi)展定級(jí)備案，包括但不限于聯(lián)系專家評(píng)審，填寫、準(zhǔn)備備案材料，并提交公安機(jī)關(guān)審核。
 
二、安徽信息系統(tǒng)安全等級(jí)保護(hù)加固整改
 
等保整改指企業(yè)根據(jù)等級(jí)保護(hù)建設(shè)要求，對(duì)信息和信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全升級(jí)，對(duì)定級(jí)對(duì)象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改，包括技術(shù)層面的整改，也包括管理方面的整改。
 
一般來(lái)說(shuō)，企業(yè)需要整改的比較常見(jiàn)的系統(tǒng)安全問(wèn)題包含以下三類：
①安全管理制度不完善或缺失問(wèn)題
整改建議：1、向測(cè)評(píng)機(jī)構(gòu)或者做得好的單位借鑒一些成熟的安全管理制度，然后根據(jù)自己?jiǎn)挝坏膶?shí)際情況進(jìn)行細(xì)化，變?yōu)樽约旱陌踩芾碇贫润w系；2、請(qǐng)測(cè)評(píng)機(jī)構(gòu)或相關(guān)單位進(jìn)行專門的安全制度體系建設(shè)。
 
②漏洞補(bǔ)丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類問(wèn)題
這類問(wèn)題的整改我們統(tǒng)稱為安全服務(wù)整改建設(shè)，整改需要做到：把安全設(shè)備配置合適合規(guī)的策略，主機(jī)及應(yīng)用做應(yīng)有的加固，關(guān)閉不必要的端口，對(duì)高危漏洞進(jìn)行打補(bǔ)丁，合理劃分不同網(wǎng)絡(luò)區(qū)域等等。
整改建議：1、企業(yè)可以讓自己的技術(shù)人員解決這些問(wèn)題，同時(shí)尋找系統(tǒng)集成商、軟件開(kāi)發(fā)商協(xié)助解決；2、尋找有實(shí)力的測(cè)評(píng)機(jī)構(gòu)或安全服務(wù)商來(lái)解決這些問(wèn)題。
 
③設(shè)備缺失或不足問(wèn)題
設(shè)備缺失或不足問(wèn)題主要指什么呢？比如根據(jù)等級(jí)測(cè)評(píng)報(bào)告，企業(yè)的信息系統(tǒng)沒(méi)有入侵檢測(cè)設(shè)備或者防火墻里不帶有入侵檢測(cè)功能，但又必須滿足這個(gè)條件，企業(yè)就需要新增入侵檢測(cè)設(shè)備。當(dāng)然，由于實(shí)際情況不同，企業(yè)需要新增的設(shè)備有優(yōu)先級(jí)的不同，一些設(shè)備需要當(dāng)下就立即新增，一些設(shè)備則可以后續(xù)再慢慢新增。
整改建議：根據(jù)實(shí)際情況，制定設(shè)備新增計(jì)劃，省時(shí)省力省錢。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：針對(duì)定級(jí)備案系統(tǒng)所在的系統(tǒng)環(huán)境進(jìn)行調(diào)研，以分析信息系統(tǒng)當(dāng)前風(fēng)險(xiǎn)狀況，明確等級(jí)保護(hù)整改需求和重點(diǎn)。同時(shí)提供等級(jí)保護(hù)安全整改與加固服務(wù)，包括重要信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計(jì)，網(wǎng)絡(luò)安全、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等設(shè)備的采購(gòu)及部署，產(chǎn)品集成實(shí)施、主機(jī)安全基線配置、應(yīng)用及數(shù)據(jù)庫(kù)安全配置、主機(jī)及應(yīng)用打補(bǔ)丁、安全審計(jì)策略配置、應(yīng)用代碼整改等內(nèi)容。
 
安徽信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)
 
等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的手段和方法，對(duì)處理特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)方式，對(duì)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估，判定受測(cè)系統(tǒng)的技術(shù)和管理級(jí)別與所定安全等級(jí)要求的符合程度，基于符合程度給出是否滿足所定安全等級(jí)的結(jié)論，針對(duì)安全不符合項(xiàng)提出安全整改建議。
 
等級(jí)測(cè)評(píng)需要具備一定的資質(zhì)，測(cè)評(píng)機(jī)構(gòu)至少得具備信息安全等級(jí)測(cè)評(píng)推薦證書(shū)。我們的技術(shù)人員將全程協(xié)助測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)工作的開(kāi)展。