《信息安全等級保護定級指南》規定,只要符合以下三個特征,就必須進行等級保護備案。如果符合以下三個特征,并且安全保護等級是二級及以上,還必須通過等級保護測評,網站也不例外。等級保護定級對象的三大基本特征:①具有確定的主要安全責任主體;②承載相對獨立的業務應用;③包含相互關聯的多個資源。
如果企業不給網站做等保,會面臨嚴重的后果。舉個例子,四川宜賓市翠屏區教師培訓與教育究中心網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,未落實網絡安全等級保護制度,未履行網絡安全保護義務,導致網站存在高危漏洞,造成網站發生被黑客攻擊入事件。根據《網絡安全法》第二十一條和五十九條之規定,內鄉縣公安局網安大隊依法對四川宜賓市翠屏區教師培訓與教育研究中心被處一萬元罰款,法人代表唐某某被處五千元罰款。
那么,如果網站符合以上三個特征,且信息系統為二級及以上,要怎么做等級保護呢?網站信息系統安全等級保護辦理步驟解讀來啦!
1.網站系統定級
根據等級保護相關管理文件,等級保護對象的安全保護等級一共分五個級別,從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定:①受侵害的客體;②對客體的侵害程度。對于關鍵信息基礎設施,“定級原則上不低于三級”,且第三級及以上信息系統每年或每半年就要進行一次測評。
定級流程:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
2.網站系統備案
根據《網絡安全法》規定:
①已運營(運行)的第二級以上信息系統,應當在安全保護等級確定后30日內(等保2.0相關標準已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
②新建第二級以上信息系統,應當在投入運行后30日內(等保2.0相關標準已將備案時限修改為10日內),由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
③隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。
④跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
企業最終確定網站的級別以后,就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》,不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料:(一)系統拓撲結構及說明;(二)系統安全組織機構和管理制度;(三)系統安全保護設施設計實施方案或者改建實施方案;(四)系統使用的信息安全產品清單及其認證、銷售許可證明;(五)測評后符合系統安全保護等級的技術檢測評估報告;(六)信息系統安全保護等級專家評審意見;(七)主管部門審核批準信息系統安全保護等級的意見。
3.網站系統安全建設(整改)
等級保護整改是等保建設的其中一個環節,指按照等級保護建設要求,對信息和信息系統進行的網絡安全升級,包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力,讓企業可以成功通過等級測評。
等級保護整改沒有什么資質要求,只要公司可以按照等級保護要求來進行相關網絡安全建設,由誰來實施,是沒有要求的。但由于目前企業網絡安全人才緊缺,企業很多時候都需要尋找專業的網絡安全服務公司來進行整改。
整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門,落實安全崗位和人員,對安全管理現狀進行分析,確定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要是指企業部署和購買能夠滿足等保要求的產品,比如網頁防篡改、流量監測、網絡入侵監測產品等。
4.網站系統等級測評
等級測評指經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。物聯網企業等級測評需要尋找合適的測評機構來進行測評,測評機構至少需要具備《信息安全等級測評推薦證書》。物聯網企業可以登錄中國網絡安全等級保護網查看國家推薦的有資質的測評機構名單。
測評機構收費方面,具體的服務費用會因為省市不同、測評項目不同、行業不同等而有所差異。但一般來說,二級系統測評費用4萬元起步,三級系統測評費用7萬元起步。
根據規定,對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
5.監督檢查
企業要接受公安機關不定期的監督和檢查,對公安機關提出的問題予以改進。