一站式等保解决方案
天磊卫士精选各地优质等保测评机构,帮助客户完成“定级、备案、整改和测评”,同时,为客户提供优质、低成本的等保整改方案,一站式帮助客户快速、低成本地通过等级保护测评。
什么是等级保护?
等保1.0的概念
以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》 为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0。
等保2.0的概念
以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。
分类结构的变化
等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。
等级保护安全合规套餐
等级安全合规方案向客户提供定级备案,等保合规咨询、建设整改和等级评测等一站式合规服务,满足企业不同的应用等保合规场景需求,如应用部署在阿里云、华为云、政务云等大型公有云平台,需满足等保二级、三级合规的要求,您可以根据自身需要,选择合适版本。
一站式等保合规解决方案
天磊卫士全力指导,客户全力配合即可。
等级保护测评实施流程
定级备案
天磊卫士依据《网络安全等级保护定级指南》辅助用户进行定级,组织专家评审,协助向公安机关备案。
差距分析
分析已定级的信息系统所采取的安全保护措施与等保2.0标准要求之间的差距,提出整改建议。
整改加固
依据差距分析结果,对信息系统进行安全建设和整改。
辅助测评
辅助测评机构,现场协助用户对定级系统进行等级测评。
等级保护测评依据
法律法规
- 《中华人民共和国网络安全法》(2017年6月1日)
- 国务院第147号令《中华人民共和国计算机信息系统安全保护条例》
- 《国家信息化领导小组关于加强信息安全保障工作的意见》
- 《关键信息基础设施安全保护条例》征求意见稿
- 《电力行业信息安全等级保护管理办法》国能安全[2014]318号
- 公安部《信息安全等级保护管理办法》公通字[2007]43号
- 公安部《网络安全等级保护条例》征求意见稿
主要标准
- 计算机信息系统安全保护等级划分准则(GB 17859-1999)
- 网络安全等级保护实施指南(GB/T25058)
- 网络安全等级保护定级指南(GB/T22240)
- 网络安全等级保护基本要求(GB/T22239-2019)
- 网络安全等级保护设计技术要求(GB/T25070-2019)
- 网络安全等级保护测评要求(GB/T28448-2019)
- 网络安全等级保护测评过程指南(GB/T28449-2018)
等级保护测评流程
测评准备
基本情况调研
结果数据分析
测评工具准备
方案编制
选择测评对象
选择测评指标
确定测评方法
编制测评计划
现场测评
网络安全测评
管理安全测评
物理安全测评
应用安全测评
主机安全测评
报告编制
单项符合性判定
整体测评
安全问题分析
形成测评结论
提出整改建议
等级保护整改服务
信息系统加固落地实施
依据差距分析,提供专业的系统安全加固建议意见,并采用技术手段,从网络、主机、应用、数据库层面进行技术加固实施落地。
主机基线核查与配置
对信息系统的主机基线进行配置及加固,消除弱口令与权限风险,防止潜在风险攻击与数据泄露。
主机漏洞扫描服务
用专业扫描工具以及人工验证等手段,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患,风险隐患和漏洞,形成《漏洞扫描报告》,给出漏洞修复意见并落地修复高危风险项。
网络架构升级加固
对网络架构进行安全加固升级,完善网络配置(含云上安全产品的测试与配置),以及适应等级保护网络安全的要求并修正运维环境下的不符合项目。
管理制度与文档体系的完善
按照等级保护管理部分标准,从5个方面帮助客户补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。
等级保护测评常见问题
信息系统的测评多久需要测一次?
四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。
网络安全等级保护之备案
网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。在备案时需提交备案所需资料,并遵从备案工作流程。
网络安全等级保护的范围
等级保护基本技术要求涉及物理安全、网络安全、主机安全、应用和数据安全等几个重要的方面。
新形势下网络安全法与等级保护二者的关系
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。