网络安全等级保护三级如何认证?三级等保认证流程
网络安全等级保护是一项复杂的工程,其目的是保护软件或者系统数据安全。之所以称之为是一项复杂的工程,是因为该项认证需要经过定级、备案、建设、测评及检查等多项工序,通过软硬件对被保护软件或者系统进行全方面的加密及保护,从而加大数据的安全性。网络安全等级保护三级主要围绕储存用户信息的系统或软件提供保护,例如:金融、互联网、教育等。那么,网络安全等级保护三级如何认证?接下来,创业萤火为您整理介绍:
一、网络安全等级保护三级的认证流程
三级等保的流程一般为系统定级→系统备案→整改实施→系统测评→运维检查,具体每一步流程步骤如下:
(1)系统定级:编写定级报告、填写定级备案表;
(2)系统备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核;
(3)整改实施:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作
(4)系统测评:请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并终获得等级保护备案证;
(5)运维检查:系统持续运维与优化,并按照相关要求进行年检。
二、网络安全等级保护都需要提供哪些材料?
整体备案流程是向属地公安机关提交备案资料,需要先线上提交备案材料。线上审核通过后,再线下提交备案材料。具体如下:
1.信息系统等级保护备案表;
2.信息系统等级保护定级报告;
3.网络与信息安全承诺书;
4.营业执照复印件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明);
5.法人身份证复印件;
6.被授权人身份证原件及复印件;
7.被授权人委托书;
8.单位办公地证明(公司或个人办公地址租赁合同或房产证);
9.单位服务器托管协议(在云平台或IDC其次提交云平台或IDC的等保备案证明及测评报告首页、基本信息页、盖章页、结论页等);
10.网络安全等级保护应急联系人登记表;
11.定级专家评审意见(及专家资质、专家会议签到表);
12.行业主管部门定级审核意见(或上级主管部门定级审核意见);
13.系统使用的安全产品清单及认证、销售许可证明;
14.信息安全工作管理制度;
15.系统拓扑图及说明;
16.系统使用网络IP地址清单;
17.备案证明。
三、哪些企业需要做网络安全等级保护?
根据《信息安全技术 网络安全等级保护定级指南》等相关标准的规定,针对于备案单位而言,以下内容都属于实施等保的对象:
(1)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;
(2)用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;
(3)各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;
(4)云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。
四、关于网络安全等级保护常见问题解答
1、网站不做等保,出了问题将承担什么责任?
网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2、哪些行业需要做等保?
金融行业、游戏行业、教育行业、电商行业、网贷行业、通讯行业、能源行业、运输行业等。
3、递交的备案资料都包括哪些内容?
《信息系统安全等级保护备案表》(一式两份)
《信息系统安全等级保护定级报告》(一个系统一份)
《系统定级评审意见》(或上级主管部门定级审核意见)
相关电子数据等
4、整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过备案?
根据《GB T22239-2008信息安全技术信息系统安全等级保护基本要求》,三级系统有如下要求:
应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
应建立备用供电系统;
以上检查项需要购置设备,对二级系统没有此要求,但在二级系统中,构成系统网络安全的必要硬件则必须有;
5、整个周期是多长?其中现场测评时间多长?
整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3~4周,一个三级系统会占用4~5周(指初次测评,不包括整改和加固时间);
其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用3~4个工作日,一个三级系统会占用5~6个工作日(两组同时进行,每组两人)。
6、等保测评检查周期是多长?
二级系统不做具体要求,但建议每两年进行一次测评检查,三级系统每年检查一次,四级系统每半年检查一次。
上述内容为“网络安全等级保护三级如何认证?”的介绍,如果您有其他疑惑,可咨询本站络安全等级保护顾问,我们会为您解答疑惑,并为您提供网络安全等级保护解决方案。
其他文章
- 合伙人模式利润分配方案的制定方法是什么?
- 个人的个税完税证明如何打印呢?
- 电子税务局如何变更法人
- 固定资产增加分录怎么做?
- 货币资金管理是什么?
- 分支机构为什么不享受小微企业优惠政策?
- 自产自销农产品有什么免税政策
- 平衡计分卡的四个维度不包括什么?
- 生产性生物资产计入什么科目
- 成考考生号忘记了怎么查询
- 车辆购置税怎么做分录-车辆购置税会计账务处理
- 现金流动负债比率一般多少合适
- 商品混凝土增值税税率是多少
- 收到投资收益会计分录怎么写?
- 盈利率计算公式是什么是什么?
- 航天信息服务费走什么会计分录?
- 2020年小规模纳税人增值税优惠政策
- 建筑行业的税负率控制在什么比例合适呢?
- 国家统计联网直报门户新手操作指导,证书如何安装
- 建筑公司的出纳主要做哪些工作流程?
- 发票记账联是否需要盖章
- 在产品的可变现净值公式是什么?
- 企业的应付账款坏账处理的会计分录
- 公司股权转让印花税怎么申报
- 行政补助工会经费的会计分录
- 干租和光租有什么区别?
- 充值卡账务怎么处理?
- 固定资产折旧的新规定,加速折旧政策有哪些
- 应收账款收不回来的账务处理是什么?
- 暂估入库如何进行账务处理?