为网络信息安全保驾护航,企业如何获得等级保护测评认证?

2022/03/22

  3 月 5 日,国务院总理李克强代表国务院向十三届全国人大五次会议作政府工作报告。报告中指出,要强化网络安全、数据安全和个人信息保护,这是自2021年政府工作报告以来,对数据安全和个人信息保护的再次强调。

中国信息安全资质评定中心

  信息安全是国家安全的重要组成部分,已经成为各国的共识。各国纷纷出台信息安全战略和政策,加强自身的国家信息安全保障体系建设。

  2007 年,为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定颁布了《信息安全等级保护管理办法》。

  我国的信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,也是促进企业信息化建设的政策依据和参考执行标准。企业在数字时代的大环境下,将各类系统运用至日常经营工作中,积累了大量数据资产,网络信息安全越来越重要。企业做好信息安全等级保护工作,既是保障自身的网络信息安全,同时也符合国家法律法规要求。

  信息安全等级保护(以下统一简称:等保)是我国为推动信息安全资源优化配置、提高网络信息安全整体水平的一种综合性工作制度,指对信息及信息系统分等级进行安全保护和监管,包括了对信息安全产品的使用进行分等级管理,对信息系统中发生的信息安全事件分等级响应、处置。等保制度由低到高分为五个等级。

中国信息安全资质评定中心

  根据技术发展和网络安全需求的变化,现等保已由原来的“ 1.0 ”时代升级为“ 2.0 ”时代,安全标准要求更高、覆盖面更广、整体安全保护能力水平大幅提升。同时,等保制度也被提升至法律层面,最高国家政策是《网络安全法》。其中,第五十九条规定有关主管部门负责监管,对未履行网络安全保护义务的单位及主管人员给予经济处罚。

  为什么越来越多企业开展等保建设工作?

  对企业而言,通过等保测评能够有效提高公司的安全建设水平与安全保护能力,有利于保障企业系统安全稳定运行,能合理规避安全风险并控制风险造成的不必要损失。同时,与国家安全保持同步,将有助于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。

  作为保护对象,企业信息系统通过等保测评全面展现其安全状况,企业能及时发现系统不足并迅速制定整改方案。企业系统达到等保测评的要求后,才能最大程度上免受网络干扰、攻击和破坏,规避数据泄露或被窃取、篡改的风险,从而实现企业数据资产的安全。

  由此可见,企业开展等保工作是履行国家法律法规规定以及满足自身发展需求的行为。就目前趋势看,已有越来越多的企业相继开展等保工作,通过等保测评也逐渐成为企业网络信息安全建设的标配,如何高效通过等保测评也成为了企业系统建设必须思考的问题。

  企业如何通过信息安全等级保护测评?

  首先,企业必须了解等保测评的工作内容。其大致可概括为定级、备案、整改与建设、测评、运维检查五大项,具体内容如下:

  1、定级:企业需邀请三个以上(含三个)的网络安全专家,结合规定要求以及企业系统的基本情况、网络安全架构等,对信息系统进行评估定级并出具定级材料。

  2、备案:填写备案材料并提交至所在地市公安局网安部门进行备案审核,一般十个工作日完成审核。

  3、整改与建设:系统完成调研评估后,根据技术要求和管理要求,进行设备采购和调整完善管理制度等工作。

  4、测评:系统进行全方面测评,测评通过后即可获得等保备案证。

  5、运维检查:通过测评后,系统仍需持续运维,同时应按相关政策法规开展定期检查。

  从以上过程可以看出,企业进行等保测评过程中涉及的单位有公安机关网安部门、备案的测评机构、咨询服务单位、集成商和安全厂商。在详细了解等保测评工作内容后,企业应结合自身实际情况制定等保测评计划,选择优质的合作单位,保障等保测评工作顺利进行。

  我们如何保障合作企业的信息安全?

  在《信息安全等级保护管理办法》、《数据安全法》、《网络安全法》等相关法律法规制度的指引下,四格互联每年花费百万元购买 web 防火墙、云盾和堡垒机等增强型专业安全服务,形成涵盖网络、应用、主机、态势感知的全方位互联网安全攻防体系,同时按规持续完善产品应用安全、网络安全、系统安全建设。

  管理上,四格互联成立信息安全管理机构或部门,设立安全主管等主要安全角色,依据信息安全等级保护最高三级标准(要求),建立信息系统的整体管理办法。根据一般故障、重大故障、特大故障对网络信息安全事件进行分级,采取不同的应急响应措施。通过建立覆盖部署、迁移、交付和运营等全流程的信息管理制度,做到责任到人、分级管控、有责必究。

  目前,四格互联“不动产数字化平台”已通过等保三级测评,平台有能力免受来自外部威胁源发起的恶意攻击、较为严重的自然灾难、以及其他程度的危害威胁所造成的资源损害。同时,四格互联根据等保三级测评规定和要求,持续开展年度测评工作(每年至少一次),不断升级平台安全保护机制,提供安全可靠的数字化服务。

中国信息安全资质评定中心

  我们能为企业等保建设提供什么服务?

  等保测评涉及内容多,以等保三级测评为例,其安全防护体系要求包括物理环境、通信网络、区域边界、计算环境、管理制度、管理人员、建设与运维管理等内容。四格互联可从网络安全运维部署、业务系统安全方面,涵盖通信网络、计算环境、区域边界等内容,为企业客户提供咨询服务。

中国信息安全资质评定中心

  因此,四格互联在等保三级认证的经验基础上,可作为咨询服务单位协助企业客户完成定级备案、差距评估和整改方案编写。同时,企业客户可采用四格互联不动产数字化平台的架构和产品体系建立或完善企业系统,为通过等保三级测评加码助力。

  目前,四格互联已协助多家企业完成等保三级测评,还配合部分央企成功开展多次“护网行动”。其中,某大型国企 A 企业,基于四格互联涵盖多项不动产资产管理产品体系的优势,加上四格咨询支持,已顺利通过等保三级测评。B 企业通过四格的等保策略产品、系统安全配置加固等通过等保三级测评。两家企业的系统已用于全国各项目的日常经营工作中。

  随着信息安全的关注度日益高涨,我国已把信息安全上升至国家战略,每个企业都应提高信息安全意识。通过不断完善信息及信息系统的安全保护工作,企业将提高信息系统的安全防护能力,同时也为实现国家信息安全贡献力量。

  想要了解更多资讯,请持续关注中国信息安全资质评定中心网站!