《信息安全等级维护定级攻略》规则,只要契合以下三个特征,就必须进行等级维护存案。假如契合以下三个特征,并且安全维护等级是二级及以上,还必须经过等级维护测评,网站也不例外。
等级维护定级目标的三大基本特征:①具有确认的首要安全职责主体;②承载相对独立的业务应用;③包含相互关联的多个资源。
1.网站体系定级
根据等级维护相关处理文件,等级维护目标的安全维护等级一共分五个等级,从一到五等级逐渐升高。等级维护目标的等级由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于要害信息基础设施,“定级原则上不低于三级”,且第三级及以上信息体系每年或每半年就要进行一次测评。
2.网站体系存案
根据《网络安全法》规则:
①已运营(运转)的第二级以上信息体系,应当在安全维护等级确认后30日内(等保2.0相关规范已将存案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关处理存案手续。
②新建第二级以上信息体系,应当在投入运转后30日内(等保2.0相关规范已将存案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关处理存案手续。
③隶属于中央的在京单位,其跨省或许全国一致联网运转并由主管部门一致定级的信息体系,由主管部门向公安部处理存案手续。
④跨省或许全国一致联网运转的信息体系在各地运转、应用的分支体系,应当向当地设区的市级以上公安机关存案。
企业最终确认网站的等级今后,就能够到公安机关进行存案。存案所需资料首要是《信息安全等级维护存案表》,不同等级的信息体系需求的存案资料有所差异。第三级以上信息体系需供给以下资料:
等级维护存案资料
3.网站体系安全建造(整改)
等级维护整改是等保建造的其中一个环节,指依照等级维护建造要求,对信息和信息体系进行的网络安全晋级,包含技能层面整改和处理层面整改。整改的最终意图便是为了进步企业信息体系的安全防护能力,让企业能够成功经过等级测评。
等级维护整改没有什么资质要求,只要公司能够依照等级维护要求来进行相关网络安全建造,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时分都需求寻觅专业的网络安全服务公司来进行整改。
整改首要分为处理整改和技能整改。处理整改首要包含:清晰主管领导和职责部门,落实安全岗位和人员,对安全处理现状进行剖析,确认安全处理战略,拟定安全处理制度等。其中,安全处理战略和制度又包含人员安全处理事情处置、应急呼应、日常运转维护设备等。
技能整改首要是指企业部署和购买能够满足等保要求的产品,比如下一代防火墙、堡垒机、主机安全产品等。
4.信息体系等级测评
等级测评指经公安部认证的具有资质的测评机构,根据国家信息安全等级维护规范规则,受有关单位委托,依照有关处理规范和技能规范,对信息体系安全等级维护情况进行检测评估的活动。
根据规则,对信息体系安全等级维护情况进行的测评应包含两个方面的内容:一是技能测评,一个是处理测评。
5.监督查看
企业要接受公安机关不定期的监督和查看,对公安机关提出的问题予以改善。