等保三级不好过。
等保三级是国家对于非银行行业要求最高级别的等保要求,过公安部等保三级测评的平台,也在一个侧面体现P2P平台具备了一定的人员、系统、安全防护方面的实力,是进入行业的一个比较高的门槛。
定级系统测评,出具系统合格检测报告。
工作实施流程:
1、定级备案:百
测评机构人员协助客户填写备案资料,测评机构人员第一轮审核,测评机构最终审核。审核后客户提交到所属区公安局。
输出:合格的定级备案材料。
2、建设咨询
测评机构组织人员开始调研,提供咨询服务,核心目标:解决《管理制度文档》;附带解决部分明显技术问题;机房可能涉及到提前架设设备,配置策略。
输出:①全套管理制度文档(包含记录文档)②《基础环境调研表》③《度漏洞扫描报告》④《渗透测试报告》。
3、初步测评
测评机构组织人员,核心目标解决技术问题。
输出:整改全套:包涵高、中、底危整改记录及其他整改过程记录。
4、整改建设
测评机构执行,测评人员协助完成,出具《差距性分析》或《回整改问题汇总》。
①《差距性分析报告》②《整改意见书》(在问题汇总清单后撰写落地解决方案)答。
5、复测评
根据整改结果复测达到目标分数。
6、出具测评报告
测评机构执行:复测结束出具合格的《测评报告》。
输出:测评机构出具的测评报告。
首先要明白:
为什么要开展等级保护工作呢?
第一、开展等保的最重要原因是通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
第二、等级保护是我国关于网络安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
第三、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育、电子政务等行业,还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作开展网络安全工作,主要有:公安、网信办等行业主管单位。不做等保的话,没法向相关主管单位及行业主管单位汇报自己单位的网络安全工作。
第四、合理地规避风险。每年都会出现一些大的信息安全事件,我们日常经常听到或看到的有,某某网站网页被篡改了,用户敏感信息被泄露了,更多的一些小范围安全事件我们不清楚但是在发生。
对于发生比较大的安全事件,首先主管单位们要去现场调查,如果你没有开展等级保护工作,最直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,国家最基本的等级保护工作都没做,你说你买了很多防火墙,很多安全设备,那都是说不清道不明的,不如你实实在在拿出备案证明,拿出测评报告说服力强。
如何开展等保工作?
只找符合规定要求的等级保护测评机构。找有测评资质的的测评公司去开展,该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》,同时部分省份要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
测评机构指具备规范的基本条件,经能力评估和回审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
提供部分测评中答心机构名单:
这个是非常有前途的,而且安全类的工作是很重要的,各大公司都需求这种安全专员。工资待遇也很好。我公司就有负责安全的部门。首先你要考证的,这样就等于拿了一个“金”资质了呵呵。
《等级测评师证书》是测评人员上岗的基本条件。抄从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测袭评师,其中中级测评师不少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。
在具体开展测评工百作中,测评人员要做到:
① 不得伪造测评记录。
② 不得泄露信息系统信息。
③ 不得收受贿赂度。
④ 不得暗示被测评单位,如果提供某种利益就可以修改测评结果。
⑤ 遵从被测评信息系统的机房管理制度。
⑥ 使用测知评专用的电脑和工具,并由有资格的测评人员使用。
⑦ 不该看的不看,不该问的不问。
⑧ 不得道将测评结果复制给非测评人员。
⑨ 不即时擅自评价测评结果。
信息安全等级保护测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
测评技术层面具体的对象是:
1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
(8)等保安全员扩展资料:
等级划分:
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度。
信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
等保三级建设要求如下:
根据《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008
7、第三级基本要求
7.1.1.1 物理位置的选择(G3)
本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
7.1.1.2 物理访问控制(G3)
本项要求包括:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
注意:更多建设要求参考《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008。
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
(9)等保安全员扩展资料:
根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因。
安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
对于等级保护建设想要达到三级,需要参考国家GB/T 22239-2008《信息系统安全等级保护基本要求》还有实施指南、测评要求等等一系列相关规范文件。详细内容就不一一回答了,但有几个在等级保护建设中的重要要求需要特别注意,一般业主方都会根据GA/T483-2004《计算机信息系统安全 等级保护工程管理要求》这个文件来对等级保护建设工作的各参与方做资格性要求,有如下几点:
第一,对于承建等保建设项目的公司、企业单位有要求,要求其具备《计算机信息系统企业集成资质证书》,因国家对于等级保护建设的性质定义为计算机信息系统集成类工程,所以要求等级保护承建单位必须具备该项资质认证。
第二,对于等级保护测评服务机构或单位有要求,要求其具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证,只有具备该资质认证的企业才能对等级保护建设业主单位进行测评,所出具的测评报告才能具备等级保护测评效力。
第三,对于测评机构的测评人员有要求,要求其具备公安部认可的等级保护测评服务人员资格认证,并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。
第四,对于安全产品资质有要求,必须为国产品牌产品,且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。无该项资质证书的安全产品不符合国家标准,更不能通过等级保护测评。另外,安全产品的操 作系统要求符合保护等级操作系统同级要求,安全产品的操作系统也必须使用自主研发的安全操作系统,不能使用普通操作系统或未经加固的操作 系统。
最后,对于安全产品制造厂商,虽然没有硬性明确要求,但是考虑到等级保护建设需要安全产品厂商提供高质量的产品、技术和服务才能保障等级保护 测评的顺利通过,所以一般要求安全产品制造厂商为国内主流品牌,能够提供全面的产品线(同一品牌设备),具备安全行业内的相关资质认证。比较重要的认证有以下几个:
1)《计算机信息系统企业集成资质证书》,在等级保护建设中,集成商不具备独立完成等级保护建设集成工作的能力,必须由安全产品制造商协助其完成,所以要求安全产品制造商同样需要具备该资格认证。
2)《涉及国家秘密的信息系统集成资质证书(甲级)》,等级保护建设是信息安全类工程,安全产品在实施和后期使用中可能涉及到业主单位的秘密信息或数据,所以要求安全产品制造商具备涉密信息系统集成甲级资质,保障业主单位的安全产品供应商具备可信的信息保密能力。
3)《信息安全服务资质证书(安全工程类二级)》,等级保护建设项目包含安全服务类产品和工作,包括测评,安全加固,应急处理,安全培训,安全咨询等,而集成商不具备专业的安全服务技术能力,需由安全产品制造商的专业安全技术人员完成,所以针对安全产品制造商要求具备该资格认证。
4)微软MAPP组织成员以及CSA云安全联盟成员。微软MAPP组织全称:Microsoft Active Protections Program,CSA云安全联盟组织全称:Cloud Security Alliance,MAPP及CSA均是国际权威的第三方信息安全漏洞发布机构和安全解决方案提供机构,作为该组织成员的安全企业,可以在全球 第一时间获取各类安全漏洞信息并提供修补方案给使用该企业产品的用户。所以,鉴于目前我国主流操作系统和主要应用系统均采用微软、oracle 等国外品牌产品,为了业主单位能够防御最新的安全威胁和获取最及时的信息安全保障技术,要求安全产品制造商为MAPP成员以及CSA成员。
