1、开展等保定级摸底调查
按照《等保定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
2、确定等保定级对象
在全国重要信息系统安全等级保护定级工作(以下简称 “等保定级工作”)中,如何科学、合理地确定等保定级对象是最关键的问题。
3、初步确定信息系统等级
可以按照下列要求确定信息系统等级:
(1)等保定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的责任主体。
(2)等保定级要素。信息系统的安全保护等级由两个定级的要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4、新建系统的等保定级工作
对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
5、信息系统等级评审
信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可以聘请专家进行评审,并出具专家评审意见。
6、信息系统等级的审批
单位自建的信息系统(与上级单位无关),等级确定后,是否报上级主管部门审批,由各行业自行决定。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
7、公安机关审核
公安机关收到信息系统运营使用单位备案材料后,应对信息系统定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线,应予以高度重视,严格把关。信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。
对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
等保三级是我国安全等级保护的三级标准,涵盖了网络、系统、数据等方面的安全管理要求。在实施等保三级时,需要配置以下设备:
1. 防火墙:负责对进出网络的流量进行控制和监控,保障网络的安全性与稳定性。
2. 入侵检测系统(IDS)和入侵防御系统(IPS):可以识别和拦截不法攻击,避免恶意攻击造成的损失。
3. 安全审计设备:负责对系统和应用程序进行审计,并生成日志记录,以帮助管理员及时发现漏洞与异常行为,并进行整改。
4. 安全加固设备:可以对主机、服务器等关键设备进行加固,减少被黑客攻击的风险。
5. 安全网关设备:通过对内部与外部网络流的过滤、代理和转换等方式,保障内网的安全。
6. 安全认证设备:例如身份认证、访问控制等设备,可以有效防止恶意用户或未经授权的第三方访问机密信息。
7. 安全监控设备:如视频监控、防盗报警等设备,对系统和网络基础设施进行实时监控,保障物理安全。
以上仅是等保三级中一部分重要设备的列举,具体的配置要求会因实际情况和业务需求而有所不同。此外,还需要根据实际情况建立健全的安全管理机构和规范,加强风险评估和管理,增强安全意识,才能更好地实施等保三级保护。
如下:
等保定级:确定信息系统的安全保护等级,依据《信息系统安全等级保护定级指南》自主确定。
等保备案:运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。
等级测评:测评机构对信息系统等级测评,形成测评报告。
系统安全建设:参照定级要求和标准,对信息系统整改加固,建设安全管理体系。
监督检查:向所在地公安网监提交测评报告,公安机关监督检查进行等级保护工作。