安徽企業(yè)要想合規(guī)通過信息系統(tǒng)安全等級保護(hù)，需要按照等級保護(hù)的辦理流程，做好每一步。本篇文章依據(jù)等保2.0相關(guān)標(biāo)準(zhǔn)，并結(jié)合等保標(biāo)準(zhǔn)制定參與者之一靈狐科技的等保服務(wù)經(jīng)驗(yàn)，為安徽企業(yè)提供信息系統(tǒng)安全等級保護(hù)合規(guī)通過方案。方案在手，等保合規(guī)小case！
 
一、安徽信息系統(tǒng)安全等級保護(hù)定級備案
 
定級依據(jù)是《信息系統(tǒng)安全等級保護(hù)定級指南》。定級流程為：確定定級對象→初步確定等級→專家評審→主管部門審核→公安機(jī)關(guān)備案審查→最終確定的等級。
 
定級之后，就可以準(zhǔn)備備案材料進(jìn)行備案。備案所需材料主要是《信息安全等級保護(hù)備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。
 
二級及其以上的信息系統(tǒng)運(yùn)行使用單位或主管部門在備案時需要提交的資料有：① 信息系統(tǒng)安全定級報(bào)告紙質(zhì)材料，一式兩份；② 信息系統(tǒng)安全備案表紙質(zhì)材料，一式兩份；③上述備案的電子檔，并制作出光盤提交。
 
第三級以上信息系統(tǒng)同時提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告；（六）信息系統(tǒng)安全保護(hù)等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
 
備案材料準(zhǔn)備好之后，需提交屬地公安機(jī)關(guān)網(wǎng)安部門審核。對符合等級保護(hù)要求的，在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：協(xié)助企業(yè)開展定級備案，包括但不限于聯(lián)系專家評審，填寫、準(zhǔn)備備案材料，并提交公安機(jī)關(guān)審核。
 
二、安徽信息系統(tǒng)安全等級保護(hù)加固整改
 
等保整改指企業(yè)根據(jù)等級保護(hù)建設(shè)要求，對信息和信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全升級，對定級對象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改，包括技術(shù)層面的整改，也包括管理方面的整改。
 
一般來說，企業(yè)需要整改的比較常見的系統(tǒng)安全問題包含以下三類：
①安全管理制度不完善或缺失問題
整改建議：1、向測評機(jī)構(gòu)或者做得好的單位借鑒一些成熟的安全管理制度，然后根據(jù)自己單位的實(shí)際情況進(jìn)行細(xì)化，變?yōu)樽约旱陌踩芾碇贫润w系；2、請測評機(jī)構(gòu)或相關(guān)單位進(jìn)行專門的安全制度體系建設(shè)。
 
②漏洞補(bǔ)丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類問題
這類問題的整改我們統(tǒng)稱為安全服務(wù)整改建設(shè)，整改需要做到：把安全設(shè)備配置合適合規(guī)的策略，主機(jī)及應(yīng)用做應(yīng)有的加固，關(guān)閉不必要的端口，對高危漏洞進(jìn)行打補(bǔ)丁，合理劃分不同網(wǎng)絡(luò)區(qū)域等等。
整改建議：1、企業(yè)可以讓自己的技術(shù)人員解決這些問題，同時尋找系統(tǒng)集成商、軟件開發(fā)商協(xié)助解決；2、尋找有實(shí)力的測評機(jī)構(gòu)或安全服務(wù)商來解決這些問題。
 
③設(shè)備缺失或不足問題
設(shè)備缺失或不足問題主要指什么呢？比如根據(jù)等級測評報(bào)告，企業(yè)的信息系統(tǒng)沒有入侵檢測設(shè)備或者防火墻里不帶有入侵檢測功能，但又必須滿足這個條件，企業(yè)就需要新增入侵檢測設(shè)備。當(dāng)然，由于實(shí)際情況不同，企業(yè)需要新增的設(shè)備有優(yōu)先級的不同，一些設(shè)備需要當(dāng)下就立即新增，一些設(shè)備則可以后續(xù)再慢慢新增。
整改建議：根據(jù)實(shí)際情況，制定設(shè)備新增計(jì)劃，省時省力省錢。
 
在這一階段，安徽靈狐科技提供的等保服務(wù)為：針對定級備案系統(tǒng)所在的系統(tǒng)環(huán)境進(jìn)行調(diào)研，以分析信息系統(tǒng)當(dāng)前風(fēng)險(xiǎn)狀況，明確等級保護(hù)整改需求和重點(diǎn)。同時提供等級保護(hù)安全整改與加固服務(wù)，包括重要信息系統(tǒng)相關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計(jì)，網(wǎng)絡(luò)安全、服務(wù)器主機(jī)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等設(shè)備的采購及部署，產(chǎn)品集成實(shí)施、主機(jī)安全基線配置、應(yīng)用及數(shù)據(jù)庫安全配置、主機(jī)及應(yīng)用打補(bǔ)丁、安全審計(jì)策略配置、應(yīng)用代碼整改等內(nèi)容。
 
安徽信息系統(tǒng)安全等級保護(hù)等級測評
 
等級測評是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的手段和方法，對處理特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測評和安全管理測評方式，對保護(hù)狀況進(jìn)行檢測評估，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求的符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項(xiàng)提出安全整改建議。
 
等級測評需要具備一定的資質(zhì)，測評機(jī)構(gòu)至少得具備信息安全等級測評推薦證書。我們的技術(shù)人員將全程協(xié)助測評機(jī)構(gòu)測評工作的開展。