【網絡安全防護】網站信息系統安全等級保護需要(want)哪些步驟？

《信息安全等級保護定級指南》規定，隻要(want)符合以(by)下三個(indivual)特征，就必須進行等級保護備案。如果符合以(by)下三個(indivual)特征，并且安全保護等級是(yes)二級及以(by)上，還必須通過等級保護測評，網站也不(No)例外。等級保護定級對象的(of)三大(big)基本特征：①具有确定的(of)主要(want)安全責任主體；②承載相對獨立的(of)業務應用(use)；③包含相互關聯的(of)多個(indivual)資源。

如果企業不(No)給網站做等保，會面臨嚴重的(of)後果。舉個(indivual)例子，四川宜賓市翠屏區教師培訓與教育究中心網站自上線運行以(by)來(Come)，始終未進行網絡安全等級保護的(of)定級備案、等級測評等工作(do)，未落實網絡安全等級保護制度，未履行網絡安全保護義務，導緻網站存在(exist)高危漏洞，造成網站發生(born)被黑客攻擊入事件。根據《網絡安全法》第二十一(one)條和(and)五十九條之規定，内鄉縣公安局網安大(big)隊依法對四川宜賓市翠屏區教師培訓與教育研究中心被處一(one)萬元罰款，法人(people)代表唐某某被處五千元罰款。
那麽，如果網站符合以(by)上三個(indivual)特征，且信息系統爲(for)二級及以(by)上，要(want)怎麽做等級保護呢？網站信息系統安全等級保護辦理步驟解讀來(Come)啦！

1.網站系統定級
根據等級保護相關管理文件，等級保護對象的(of)安全保護等級一(one)共分五個(indivual)級别，從一(one)到(arrive)五級别逐漸升高。等級保護對象的(of)級别由兩個(indivual)定級要(want)素決定：①受侵害的(of)客體；②對客體的(of)侵害程度。對于(At)關鍵信息基礎設施，“定級原則上不(No)低于(At)三級”，且第三級及以(by)上信息系統每年或每半年就要(want)進行一(one)次測評。
定級流程：确定定級對象→初步确定等級→專家評審→主管部門審批→公安機構備案審查→最終确定的(of)級别。

2.網站系統備案
根據《網絡安全法》規定：
①已運營（運行）的(of)第二級以(by)上信息系統，應當在(exist)安全保護等級确定後30日内（等保2.0相關标準已将備案時(hour)限修改爲(for)10日内），由其運營、使用(use)單位到(arrive)所在(exist)地(land)設區的(of)市級以(by)上公安機關辦理備案手續。
②新建第二級以(by)上信息系統，應當在(exist)投入運行後30日内（等保2.0相關标準已将備案時(hour)限修改爲(for)10日内），由其運營、使用(use)單位到(arrive)所在(exist)地(land)設區的(of)市級以(by)上公安機關辦理備案手續。
③隸屬于(At)中央的(of)在(exist)京單位，其跨省或者全國統一(one)聯網運行并由主管部門統一(one)定級的(of)信息系統，由主管部門向公安部辦理備案手續。
④跨省或者全國統一(one)聯網運行的(of)信息系統在(exist)各地(land)運行、應用(use)的(of)分支系統，應當向當地(land)設區的(of)市級以(by)上公安機關備案。
企業最終确定網站的(of)級别以(by)後，就可以(by)到(arrive)公安機關進行備案。備案所需材料主要(want)是(yes)《信息安全等級保護備案表》，不(No)同級别的(of)信息系統需要(want)的(of)備案材料有所差異。第三級以(by)上信息系統需提供以(by)下材料：( 一(one) ) 系統拓撲結構及說明；( 二 ) 系統安全組織機構和(and)管理制度；( 三 ) 系統安全保護設施設計實施方案或者改建實施方案；( 四 ) 系統使用(use)的(of)信息安全産品清單及其認證、銷售許可證明；( 五 ) 測評後符合系統安全保護等級的(of)技術檢測評估報告；( 六 ) 信息系統安全保護等級專家評審意見；( 七 ) 主管部門審核批準信息系統安全保護等級的(of)意見。

3.網站系統安全建設（整改）
等級保護整改是(yes)等保建設的(of)其中一(one)個(indivual)環節，指按照等級保護建設要(want)求，對信息和(and)信息系統進行的(of)網絡安全升級，包括技術層面整改和(and)管理層面整改。整改的(of)最終目的(of)就是(yes)爲(for)了(Got it)提高企業信息系統的(of)安全防護能力，讓企業可以(by)成功通過等級測評。
等級保護整改沒有什麽資質要(want)求，隻要(want)公司可以(by)按照等級保護要(want)求來(Come)進行相關網絡安全建設，由誰來(Come)實施，是(yes)沒有要(want)求的(of)。但由于(At)目前企業網絡安全人(people)才緊缺，企業很多時(hour)候都需要(want)尋找專業的(of)網絡安全服務公司來(Come)進行整改。
整改主要(want)分爲(for)管理整改和(and)技術整改。管理整改主要(want)包括:明确主管領導和(and)責任部門，落實安全崗位和(and)人(people)員，對安全管理現狀進行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和(and)制度又包括人(people)員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。
技術整改主要(want)是(yes)指企業部署和(and)購買能夠滿足等保要(want)求的(of)産品，比如網頁防篡改、流量監測、網絡入侵監測産品等。
4.網站系統等級測評
等級測評指經公安部認證的(of)具有資質的(of)測評機構，依據國家信息安全等級保護規範規定，受有關單位委托，按照有關管理規範和(and)技術标準，對信息系統安全等級保護狀況進行檢測評估的(of)活動。物聯網企業等級測評需要(want)尋找合适的(of)測評機構來(Come)進行測評，測評機構至少需要(want)具備《信息安全等級測評推薦證書》。物聯網企業可以(by)登錄中國網絡安全等級保護網查看國家推薦的(of)有資質的(of)測評機構名單。
測評機構收費方面，具體的(of)服務費用(use)會因爲(for)省市不(No)同、測評項目不(No)同、行業不(No)同等而有所差異。但一(one)般來(Come)說，二級系統測評費用(use)4萬元起步，三級系統測評費用(use)7萬元起步。
根據規定，對信息系統安全等級保護狀況進行的(of)測試應包括兩個(indivual)方面的(of)内容：一(one)是(yes)安全控制測評，主要(want)測評信息安全等級保護要(want)求的(of)基本安全控制在(exist)信息系統中的(of)實施配置情況；二是(yes)系統整體測評，主要(want)測評分析信息系統的(of)整體安全性。其中，安全控制測評是(yes)信息系統整體安全測評的(of)基礎。
5.監督檢查
企業要(want)接受公安機關不(No)定期的(of)監督和(and)檢查，對公安機關提出(out)的(of)問題予以(by)改進。
來(Come)源：關鍵基礎設施安全應急響應中心