等保2.0 | 网站信息系统安全等级保护需要哪些步骤?-新闻资讯-网站建设,小程序开发【定制】—网易企业邮箱

《信息安全等级保护定级指南》规定，只要符合以下三个特征，就必须进行等级保护备案。如果符合以下三个特征，并且安全保护等级是二级及以上，还必须通过等级保护测评，网站也不例外。等级保护定级对象的三大基本特征：①具有确定的主要安全责任主体；②承载相对独立的业务应用；③包含相互关联的多个资源。

如果企业不给网站做等保，会面临严重的后果。举个例子，四川宜宾市翠屏区教师培训与教育研究中心网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务，导致网站存在高危漏洞，造成网站发生被黑客攻击入侵事件。根据《网络安全法》第二十一条和五十九条之规定，内乡县公安局网安大队依法对四川宜宾市翠屏区教师培训与教育研究中心被处一万元罚款，法人代表唐某某被处五千元罚款。

那么，如果网站符合以上三个特征，且信息系统为二级及以上，要怎么做等级保护呢？网站信息系统安全等级保护办理步骤解读来啦！

1.网站系统定级

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

2.网站系统备案

根据《网络安全法》规定：

①已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

②新建第二级以上信息系统，应当在投入运行后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

③隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。

④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

企业最终确定网站的级别以后，就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

3.网站系统安全建设（整改）

等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。
等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

4.网站系统等级测评

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评，测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。
测评机构收费方面，具体的服务费用会因为省市不同、测评项目不同、行业不同等而有所差异。但一般来说，二级系统测评费用4万元起步，三级系统测评费用7万元起步。
根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

5.监督检查

企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。

内容来源：信息安全国家工程研究中心

- End -

内蒙古信息系统安全等级测评中心（原包头市信息系统安全等级评测中心）成立于2008年，中心经自治区等保办、自治区公安厅推荐、由公安部能力评估合格后获准在全国范围依据《网络安全等级保护管理办法》、《计算机信息网络安全等级划分准则》、《网络安全等级保护基本要求》等法规、标准开展网络安全等级测评、风险评估，测评中心自成立之初就致力于网络安全测评、风险评估、安全监理、安全运维和安全应急服务，是内蒙古自治区最早专业从事网络安全等级测评、网络安全服务的专业机构，服务范围涵盖网络安全等级保护测评、网络安全风险评估、网络安全运维监控、安全咨询、安全培训等，目前中心拥有由博士、硕士、极富信息安全实践经验和司法鉴定经验的专家、具有顶尖资质的信息安全精英组成的技术、管理团队为300余家重点单位和机构的的多个信息系统提供网络安全等级测评、运维、应急、培训、监理及咨询等多种服务，服务质量得到了各级主管机构和广大客户的高度认可。

中心总部在包头，在呼和浩特市、呼伦贝尔市、巴彦淖尔市设有分中心，中心设有24小时信息安全应急服务热线（0472-5267799）和服务团队，依托完善的服务网络和先进的服务理念，为客户提供全面、快速、高效、便捷的服务，测评中心通过持续技术创新、技术发展、技术研究不断为客户创造价值，赢得了广泛的用户信任与合作，服务用户涉及政府机关、金融、能源、军工、教育、卫生、烟草、制造业、钢铁等众多领域和单位。

“科学、诚信、严谨、公正”，测评中心始终以前瞻的视野、创新的思维、严谨的实践为用户提供细致贴心的服务，测评中心愿集中全部的智慧和理念与用户共同构建网络安全的广阔未来。

科学、诚信、严谨、公正

文章内容如有侵权，请联系站长删除。