三级等保是非银行机构的最高等级保护认证,其测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。

具体来说,信息安全等级保护三级2.0测评内容如下所示:



测评技术层面具体的对象是:

1.机房:本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。

2.业务应用软件:本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。

3.主机操作系统:本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4.数据库系统:本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5.网络设备:本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

如何合规通过信息安全等级保护三级2.0测评?

企业需要按照定级备案、加固整改、等级保护测评的流程来落实等保工作。结合等保流程和相关等保标准,青莲网络提供一站式等级保护解决方案

一、信息系统安全等级保护定级备案阶段,青莲提供备案代办服务

信息系统的安全保护等级分为一至五级,从一至五级别逐渐升高,企业可以根据定级指南来确定自己信息系统的等级,定级依据是《信息系统安全等级保护定级指南》。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。

定级之后,企业就可以准备材料到公安机关进行备案。备案成功即可获得等保备案证明。

在这一阶段,青莲网络提供的等保服务为:协助企业开展定级备案,包括但不限于联系专家评审,填写、准备备案材料,并提交公安机关审核,让企业成功拿到备案证明。

二、信息系统安全等级保护整改阶段,青莲提出整改方案并实施,包括安全管理制度的建设

等保整改指企业根据等级保护建设要求,对信息和信息系统进行网络安全升级,对定级对象当前不满足要求的进行建设整改,包括技术层面的整改,也包括管理方面的整改。

一般来说,企业需要整改的比较常见的系统安全问题包含以下三类:

1.安全管理制度不完善或缺失问题

整改建议:①向测评机构或者做得好的单位借鉴一些成熟的安全管理制度,然后根据自己单位的实际情况进行细化,变为自己的安全管理制度体系;②请测评机构或相关单位进行专门的安全制度体系建设。

2.漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类问题

这类问题的整改我们统称为安全服务整改建设,整改需要做到:把安全设备配置合适合规的策略,主机及应用做应有的加固,关闭不必要的端口,对高危漏洞进行打补丁,合理划分不同网络区域等等。

整改建议:①企业可以让自己的技术人员解决这些问题,同时寻找系统集成商、软件开发商协助解决;②寻找有实力的测评机构或安全服务商来解决这些问题。

3.设备缺失或不足问题

设备缺失或不足问题主要指什么呢?比如根据等级测评报告,企业的信息系统没有入侵检测设备或者防火墙里不带有入侵检测功能,但又必须满足这个条件,企业就需要新增入侵检测设备。当然,由于实际情况不同,企业需要新增的设备有优先级的不同,一些设备需要当下就立即新增,一些设备则可以后续再慢慢新增。

整改建议:根据实际情况,制定设备新增计划,省时省力省钱。

在这一阶段,青莲网络提供的等保服务为:针对定级备案系统所在的系统环境进行调研,以分析信息系统当前风险状况,明确等级保护整改需求和重点。同时提供等级保护安全整改与加固服务,包括重要信息系统相关的网络结构化设计,网络安全、服务器主机、数据库系统、中间件系统等设备的采购及部署,产品集成实施、主机安全基线配置、应用及数据库安全配置、主机及应用打补丁、安全审计策略配置、应用代码整改等内容

需要注意的是,青莲网络提供的整改服务不仅仅是提供一个简单的技术整改方案,其针对系统的安全问题提出方案以后,技术人员还会把方案落地实施。举个例子,如果企业的系统有漏洞问题,我们的技术人员就会给高危漏洞打补丁。同时,青莲网络的技术团队会根据企业需求,为企业设计一整套的安全管理制度方案,企业无需自己设计。

三、信息系统安全等级保护测评阶段,青莲帮助寻找合适的测评机构,辅助测评工作开展,助力企业成功通过测评

等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。

等级测评需要具备一定的资质,测评机构至少得具备信息安全等级测评推荐证书。青莲网络在全国有几十家等保合作单位,可帮助企业寻找合适的测评机构,同时,我们的技术人员将全程协助测评机构测评工作的开展。