面议元2023-03-06 18:13:38
很多人以为等级保护工作指的就是等保测评这一项工作,这是一个大大的误区!要知道,等级保护工作不是一件事,而是由五件事组成的一个完整工作流程。根据信息系统等级保护相关标准,等保工作总共分五个阶段
第一步 定级
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。虽然是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级。
第二步 备案
信息系统,要按照单位所在地址的(市级公安网监机关)进行备案。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第三步 系统安全建设
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
第四步 等级测评
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然,理想状态的“符合”基本是不可能达到的。
后评测中心会给一本等级评测报告,当然整个过程是很繁琐的,需要测评中心和系统的建设安全维护公司一起完成
第五步 监督检查
公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,多数用户单位都是在相关服务机构的协助下完成这些工作。下面,再来详解一下等保备案的具体流程
申请备案要提交哪些材料? 这些一般都可以从评测中心索取,用户无需担心
备案材料受理:
备案时应当提交《信息系统安全等级保护备案表》(一式两份)。第二级以上信息系统备案时需提交《备案表》表一、表二、表三。第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。按照《信息安全等级保护管理办法》“第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。”
之后就是由评测中心进行帮助用户办理了
后说一下等保全套费用:三级一般在十几万,二级一般在十万以内,也有一些单位建设的安全能力比较高,所以费用很贵
注:不同地区管理流程设置存在一定差异,具体请以当地管理部门要求为准