当前位置:   article > 正文

等级保护介绍_等保测评二级系统需要做渗透测试码

等保测评二级系统需要做渗透测试码

等保流程
等级保护
等保发展历程
。1994 首次国家提出等级保护概念
。1999 针对信息系统保护有法律依据
。2007 等保1.0措施。
。2017 立法了《网络安全法》
。2019年 等保2.0 颁布
等保2.0和1.0有什么特点和区别
1.名称变了信息安全技术信息等级保护要求 改为 信息安全基础网络安全等级保护…>与网络安全法相一致。
2.定级对象变化 1.0针对物安全、网络、主机、应用、数据安全 2.0 在1.0基础上增加了物联网、云产品、移动互联等一系列业务对象。
3.安全监督结构变化:
1.技术上:
2.管理:制度立项数量更多
4.增加了等保的义务性要求,具有等级保护的法律义务。
为什么要做等保
不做等保出问题了人祸,做了等保出问题了天灾
责任分担:
完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任。不做等保,出了问题,用户将承担主要的责任,必要时候,网监部门会直接进行处罚。
为了实现国家安全体系化的建设
对公共利益有影响的,才需要做等保
如何做等保
关键性角色:
1.公安机关网监部门:主要承担等级保护过程中的监督检查的工作,负责管理测评机构。测评机构都需要在当地进行备案。
网络安全等级保护网:http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
2.测评机构:各省分布大概3·6个公安备案测评机构,主要负责根据当地网监部门的要求开展测评工作。
3.被测评企业:根据网监部门要求,配合等保相关工作
4.集成商、实施商、安全厂商:被测评企业需要根据整改方案进行整改,大量的涉及到安全设备的采购与应用。
测评机构希望自己的测评师越多越好,因为有越多的测评师,他们就可以去网监局备案,这样他们测评的优先级就会越高
等保的流程
定级备案—>差距评估—>整改建设—>等级评测
定级备案
梳理信息系统情况,确定等级,提交定级报告和备案表到当地网监部门。
在这里插入图片描述
根据当前的业务需求和范围确定等级
医院的信息系统、国企的用户系统是一级的
金融机构好多是二级和三级的,滴滴是二级的
腾讯云和华为云这些都是三级等保,阿里云、支付宝业务是四级等保
假设有一家公司想要做等保,公司的服务器是放在云厂商的云服务器上的,我们这个等保的等级是不会高于厂商的等级,即便你的业务是多高的,多重要,因为我们系统的数据都是放在云厂商那边的
等级越高,安全性要求越高,费用越高,一级是最低的,五级是最高的
氢弹和原子弹就是等保五级了,五级涉及到军工企业国家安全的业务系统
省级、市级的办公系统,顶多是三级
等保的价格跟地域和等级有关
差距评估
差距评估报告,整改建议,渗透测试报告
做差距评估的时候,有一个统一的表格
渗透测试只是针对业务进行测试,等保是对整个公司进行检查,包括公司的领导和企业制度
做为一个企业,他希望自己做等保是一级,因为他做等保是为了出事情,可以推卸责任,等级高了,一个是贵,一个是不好过
等保三四级的公安会隔两三个月过来一趟,监督和检查
安全整改
系统安全、网铬安全、数据安全
等级测评

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/秋刀鱼在做梦/article/detail/750506
推荐阅读
相关标签
  

闽ICP备14008679号