企业网站等级保护测评必须做吗?
2021-08-25 19:01
等保2.0时代,企业网站等级保护测评得分要在70分以上,且信息系统没有高风险项才算通过。为了达到或者超过这个目标,企业可以按照以下流程,落实网站的等级保护工作。
1.网站定级备案
定级备案是等级保护测评的先决条件,网站必须先进行了等级保护备案之后,才能进行测评。定级即企业根据《信息系统等级保护定级指南》确定网站的等级保护级别,一般是二级或者三级,定级流程是这样的:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
网站等级保护级别确定之后,企业即可以准备备案材料到公安机关进行备案,备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:① 信息系统安全定级报告纸质材料,一式两份;② 信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
备案成功之后,企业进入到下一步的测评。如果备案不成功,企业需要重新定级、备案。
2.网站等级保护测评与整改
为什么要把整改和测评连在一起说呢?这是因为,绝大多数网站都存在一定的安全问题,或是安全设备缺失,或是安全管理制度不完善,如果不进行整改,网站是无法通过等级保护测评的。
那么,网站等级保护测评与整改到底怎么做呢?这里有两种选择:
第一种是企业直接找到合适的测评机构,测评机构按照等级保护标准,先给网站进行一次差距测评,发现网站存在的安全问题,然后把这些安全问题整理出来,企业根据安全问题进行整改。整改之后,测评机构重新给网站进行一次验收测评(复测),测评通过,企业把测评报告和整改报告一起提交公安机关,就算是落实了网站的等级保护。
第二种是企业先自己进行一次整改,或者找专业的等保服务机构同时提供差距测评和整改工作,这样等测评机构进行测评的时候,网站风险很小,基本上就可以一次通过等级测评,就能大大节省企业过等保的时间。
为了让网站能早日通过等级测评,企业可以从以下三方面入手,落实网站等级保护整改工作:
1.安全管理制度不完善或缺失问题
2.漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类问题
3.设备缺失或不足问题