1. 網路安全等級保護測評相關問題|總結等保三級需要哪些設備
等保即網路安全等級保護,「三級等保」顧名思義就是安全等級保護三級。是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護;對信息系統中使用的信息安全產品實行按等級管理;對信息系統中發生的信息安全事件分等級響應、處置。
三級等保、等保的評審流程:
系統定級→系統備案→整改實施→系統測評→運維檢查
①系統定級:編寫定級報告、填寫定級備案表。
②系統備案:定級備案表填寫完整後,將定級材料提交至公安機關進行備案審核。
③整改實施:對系統進行調研,開展差距評估,依照國家相關標准進行方案設計,完成相應設備采購及調整、策略配置調試、完善管理制度等工作。
④系統測評:請當地測評機構,對系統進行全方面測評,測評評分合格後獲得合格測評報告,並最終獲得等級保護備案證。
⑤運維檢查:系統持續運維與優化,並按照相關要求進行年檢。
一般在進行等保測評時,會遇到相關問題,我整理了幾個常見問題,找專業人士(等保測評機構-時代新威提供)做了解答:
1、網站不做等保,出了問題將承擔什麼責任?
①網路運營者不履行《中華人民共和國網路安全法》【第二十一條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
②關鍵信息基礎設施的運營者不履行《中華人民共和國網路安全法》【第三十四條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
2、哪些行業需要做等保?
金融行業、游戲行業、教育行業、電商行業、網貸行業、通訊行業、能源行業、運輸行業等。
3、遞交的備案資料都包括哪些內容?
①《信息系統安全等級保護備案表》(一式兩份)
②《信息系統安全等級保護定級報告》(一個系統一份)
③《系統定級評審意見》(或上級主管部門定級審核意見)
④相關電子數據等
4、整改會不會涉及到要購置設備?如果有些不符合項目不能馬上關閉能不能通過備案?
根據《GB T22239-2008信息安全技術信息系統安全等級保護基本要求》,三級系統有如下要求:
①應提供主要網路設備、通信線路和數據處理系統的硬體冗餘,保證系統的高可用性;
②應建立備用供電系統;
以上檢查項需要購置設備,對二級系統沒有此要求,但在二級系統中,構成系統網路安全的必要硬體則必須有;
5、整個周期是多長?其中現場測評時間多長?
①整個測評周期包括前期調研、現場測評、後期報告編寫等,一般情況下一個二級系統會佔用3~4周,一個三級系統會佔用4~5周(指初次測評,不包括整改和加固時間);
② 其中現場測評(指在被測系統單位現場的測評)的時間根據系統的數量而定:一般一個二級系統會佔用3~4個工作日,一個三級系統會佔用5~6個工作日(兩組同時進行,每組兩人)。
6、等保測評檢查周期是多長?
二級系統每2年進行一次測評檢查,三級系統每年檢查一次。
更多問題可直接去時代新威官網查看。
2. 等保二級需要哪些安全設備
等級保護相關政策標准中,除了防病毒產品外,沒有任何強制產品。
比如,網路安全層面的訪問控制,你可以利用防火牆做,也可以用路由器做,也可以用三層交換做等等,只要在功能和策略上達到等保相應級別要求就可以。包括入侵防範層面、安全審計層面等都沒有要求具體的設備。
千萬不要聽信安全設備廠家的話,白花冤枉錢。找個等保測評機構幫你們做個測評或者自查,找到不符合等保要求項的點,再考慮花錢。