有些公司在迅猛發(fā)展過程中往往只看重業(yè)務(wù)而忽視了安全問題，不僅沒有安全團隊，對代碼和數(shù)據(jù)的保護都沒有任何措施。?可能運維人員知道這個問題的嚴(yán)重性，但由于管理人員的角度不同往往會忽略這個問題的嚴(yán)重性。如果您的企業(yè)，還沒有進行等保備案和測評，那可要抓緊啦！網(wǎng)絡(luò)信息安全不僅僅關(guān)乎企業(yè)安全，更關(guān)乎國家利益！

等保測評是什么？

等保即信息安全等級保護，是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

等保測評一定要做嗎？

《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）于2017年6月1日正式實施： 第二十一條：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護的義務(wù)。等保2.0實施后，不開展等級保護等于違反《網(wǎng)絡(luò)安全法》，可以根據(jù)法律法規(guī)進行處罰。

不做等保，等于違法！

不做等保，等于違法！

不做等保，等于違法！

更多等保信息，歡迎加入等保過保交流群：852146960

等保方案怎么做？

1.網(wǎng)站系統(tǒng)定級

根據(jù)等級保護相關(guān)管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：①受侵害的客體；②對客體的侵害程度。對于關(guān)鍵信息基礎(chǔ)設(shè)施，“定級原則上不低于三級”，且第三級及以上信息系統(tǒng)每年或每半年就要進行一次測評。

定級流程：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構(gòu)備案審查→最終確定的級別。

2.網(wǎng)站系統(tǒng)備案

根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定：

①已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)（等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)），由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。

②新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)（等保2.0相關(guān)標(biāo)準(zhǔn)已將備案時限修改為10日內(nèi)），由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦備案手續(xù)。

③隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦備案手續(xù)。

④跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

企業(yè)最終確定網(wǎng)站的級別以后，就可以到公安機關(guān)進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。第三級以上信息系統(tǒng)需提供以下材料：( 一 ) 系統(tǒng)拓撲結(jié)構(gòu)及說明；( 二 ) 系統(tǒng)安全組織機構(gòu)和管理制度；( 三 ) 系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；( 四 ) 系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；( 五 ) 測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；( 六 ) 信息系統(tǒng)安全保護等級專家評審意見；( 七 ) 主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。

3.網(wǎng)站系統(tǒng)安全建設(shè)（整改）

等級保護整改是等保建設(shè)的其中一個環(huán)節(jié)，指按照等級保護建設(shè)要求，對信息和信息系統(tǒng)進行的網(wǎng)絡(luò)安全升級，包括技術(shù)層面整改和管理層面整改。整改的最終目的就是為了提高企業(yè)信息系統(tǒng)的安全防護能力，讓企業(yè)可以成功通過等級測評。

等級保護整改沒有什么資質(zhì)要求，只要公司可以按照等級保護要求來進行相關(guān)網(wǎng)絡(luò)安全建設(shè)，由誰來實施，是沒有要求的。但由于目前企業(yè)網(wǎng)絡(luò)安全人才緊缺，企業(yè)很多時候都需要尋找專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司來進行整改。

整改主要分為管理整改和技術(shù)整改。管理整改主要包括:明確主管領(lǐng)導(dǎo)和責(zé)任部門，落實安全崗位和人員，對安全管理現(xiàn)狀進行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應(yīng)急響應(yīng)、日常運行維護設(shè)備、介質(zhì)管理安全監(jiān)測等。

技術(shù)整改主要是指企業(yè)部署和購買能夠滿足等保要求的產(chǎn)品，比如網(wǎng)頁防篡改、流量監(jiān)測、網(wǎng)絡(luò)入侵監(jiān)測產(chǎn)品等。

4.網(wǎng)站系統(tǒng)等級測評

等級測評指經(jīng)公安部認證的具有資質(zhì)的測評機構(gòu)，依據(jù)國家信息安全等級保護規(guī)范規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。物聯(lián)網(wǎng)企業(yè)等級測評需要尋找合適的測評機構(gòu)來進行測評，測評機構(gòu)至少需要具備《信息安全等級測評推薦證書》。物聯(lián)網(wǎng)企業(yè)可以登錄中國網(wǎng)絡(luò)安全等級保護網(wǎng)查看國家推薦的有資質(zhì)的測評機構(gòu)名單。

測評機構(gòu)收費方面，具體的服務(wù)費用會因為省市不同、測評項目不同、行業(yè)不同等而有所差異。但一般來說，二級系統(tǒng)測評費用4萬元起步，三級系統(tǒng)測評費用7萬元起步。

根據(jù)規(guī)定，對信息系統(tǒng)安全等級保護狀況進行的測試應(yīng)包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。

5.監(jiān)督檢查

企業(yè)要接受公安機關(guān)不定期的監(jiān)督和檢查，對公安機關(guān)提出的問題予以改進。