等保合规2.0

1V1等保定制方案,快至30天过审!

什么是等保

网络安全等级保护,以下简称“等保”。

  • 等保1.0的概念 以1994年国务院颁布的147号令《计算机信息系统安 全保护条例》为指导标准,以2008年发布的《GB/T2 2239-2008 信息安全技术 信息系统安全等级保护基本要求》为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0。
  • 等保2.0的概念 以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。
  • 核心变化 等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。
信息系统安全等级保护等级划分 等级保护建设工作需要根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。 根据如下步骤确认定级对象的安全保护等级:
等 级 监督强度 对 象 侵害客体 侵害程度
第一级 自主保护级 一般网络
公民、法人和其他组织的合法权益
损害
第二级 指保护级
公民、法人和其他组织的合法权益
严重损害
特别严重损害
社会秩序和公共利益 危害
第三级 监督保护级 重要网络 社会秩序和公共利益 严重危害
国家安全 危害
第四级 强制保护级 特别重要网络 社会秩序和公共利益 特别严重危害
国家安全 严重危害
第五级 专控保护级 极端重要网络 国家安全 特别严重危害
辅助我做等保定级

等保合规服务内容

云WEB防火墙
DDOS高防IP
网站运维审计
网站漏洞扫描
网页防篡改
网站挂马监测
病毒过滤系统
终端安全
防火墙
SSL 证书
日志审计
数据库审计
态势感知
渗透测试
等保测评(拿证)
容灾备份
 
  • 商务版

    原价:120000元/年 现价:30000元起

    95%
    20G
    立即咨询
  • 旗舰版

    原价:220000元/年 现价:120000元起

    95%以上
    30G
    立即咨询
  • 金融版

    现价:360000元/年 面谈优惠

    98%以上
    30G
    立即咨询
展开查看更多 ∨

等保二级和三级

  二级 三级
安全通信网络

应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段

云防火墙 云防火墙
安全区域边界

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为

DDoS高防

应具有提供访问控制、边界防护、入侵防范等安全机制

web应用防火墙 web应用防火墙

应能对各类安全事件和新型攻击进行分析、识别、报警

云安全中心 云安全中心
安全计算环境

应对用户进行身份鉴别、访问控制、运维审计

堡垒机 堡垒机

应启用安全审计功能,数据进行安全审计

数据库审计 数据库审计

应满足数据完整性和数据保密性的要求

SSL证书 SSL证书

应能发现已知漏洞,并在经过充分测试评估后,及时修补漏洞

漏洞扫描 漏洞扫描

应仅采集和保存业务必需的用户个人信息,并对数据安全审计范围进行扩展

敏感数据保护
安全管理中心

应对系统资源和运行进行配置、控制和管理。包括用户身份、系统资源配置、系统加载和启动、异常处理、 数据和设备的备份与恢复等。

安全管家 安全管家
物联网安全

应保证感知节点设备安全、接入控制、入侵防范、抗数据重放

loT感知节点安全防护 loT感知节点安全防护

应保证网关节点设备安全,对来自传感网的数据进行融合处理

loT感知节点安全防护 loT感知节点安全防护

应保证只有被授权的用户可以对感知节点设备上的软件进行配置或变更

loT可信执行环境(TEE)授权

等保合规2.0架构

等保二级架构 等保三级(基础)机构 等保三级(增强)架构
  • 等保二级安全合规
    立即咨询

    安全物理环境 包括物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。

    安全通信网络 包括网络架构,通信传输,可信验证

    安全区域边界 包括边界防护,访问控制,入侵防范,恶意代码防护,安全审计等

    安全计算环境 身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,数据完整性,保密性,个人信 息保护等

    安全管理中心 系统管理,审计管理,安全管理,集中管控

  • 等保三级(基础)安全合规
    立即咨询

    安全物理环境 包括物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。

    安全通信网络 包括网络架构,通信传输,可信验证

    安全区域边界 包括边界防护,访问控制,入侵防范,恶意代码防护,安全审计等

    安全计算环境 身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,数据完整性,保密性,个人信 息保护等

    安全管理中心 系统管理,审计管理,安全管理,集中管控

  • 等保三级(增强)安全合规
    立即咨询

    安全物理环境 包括物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。

    安全通信网络 包括网络架构,通信传输,可信验证

    安全区域边界 包括边界防护,访问控制,入侵防范,恶意代码防护,安全审计等

    安全计算环境 身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,数据完整性,保密性,个人信 息保护等

    安全管理中心 系统管理,审计管理,安全管理,集中管控

等保测评流程

等保包括五个阶段:1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象(即需要过等保的对象)建设整改后,需要选择符合国家要求的测评机构,按《网络安全等级保护基本要求》等技术标准进行等级测评,之后向监管单位提交测评报告。

合规流程 系统定级 系统备案 建设整改 等级测评 监督检查
企业客户
确定系统或者子系统的安全等级,准备定级报告 咨询服务
持定级报告和备案表到当地公安网监进行备案
照定级要求和标准,对信息系统整改加固 产品套餐
测评机构对信息系统等级测评,形成测评报告
向当地公关网监提交测评报告,配合完成检查
金诚信息安全
提供定级辅导服务
提供备案指引服务
提供符合等保2.0合规需 求的安全产品
提供等保测评服务, 提供金诚信息安全托管平台的合规资质证明
整改机构
辅导客户准备定级报告,组织专家评审
辅导客户准备材料、完成备案
辅导客户进行系统的 安全加固,协助客户建设 安全管理体系
辅导客户测评整改
协助客户检查和整改
测评机构
对系统等级符合性状况进行 测评,出具测评报告
监察检查
公安机关审核受理备案材料
公安机关监督检查等 级保护工作

等保2.0方案优势

专业的资质证明

金诚信息安全拥有三级等保资质,拥有流程化的等保托管方案、精简的等保备案工作、标准安全组件、精准的达标分析、健全的产品体系、合规的方案设计帮您轻松过等保。

等保服务

  • 定级备案辅导
  • 等保差距评估
  • 等保综合建设
  • (一) 信息系统定级工作原则

    信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。

    在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。

    (二) 信息系统安全保护等级

    信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。

    (三) 信息系统安全保护等级的定级要素

    信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

    1.受侵害的客体

    等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。

    2. 对客体的侵害程度

    对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。

    (四) 五级保护和监管

    信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对信息系统进行保护,国家信息安全监管部门对其信息安全等级保护工作进行监督管理。

    二、定级工作的主要步骤

    信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。定级工作可以按照下列步骤进行。

    (一) 开展摸底调查

    按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。

    (二) 确定定级对象

    在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象。

    一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。

    二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。

    三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。

    四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。

    五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。

    例如,奥运网络主要包括,“奥组委办公外网”(承载自动化办公、场馆管理、电子邮件、物流、员工之家等16项业务)、“奥组委内部办公局域网”(承载着财务管理、人事管理等3项业务)、“奥运票务网”(票务网站和票务管理系统)、“奥运官方网站”(门户网站和后台数据处理系统)、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。

    (三) 初步确定信息系统等级

    可以按照下列要求确定信息系统等级:

    1. 定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的责任主体。

    2. 定级要素。信息系统的安全保护等级由两个定级的要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

    信息系统的安全保护等级是信息系统本身的客观自然属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据,确定信息系统的安全保护等级。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响,考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。既要防止个别单位版面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。

    3.对各类系统定级的处理方法。一是单位自建的信息系统(与上级单位无关),单位自主定级。二是跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。

    需特别注意的是:同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不能定为一、二级。

    4.新建系统的定级工作

    对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。有关信息系统安全保护等级确定的具体办法和要求见1.3节。

    (四) 信息系统等级评审

    信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可以聘请专家进行评审,并出具专家评审意见。

    (五) 信息系统等级的审批

    单位自建的信息系统(与上级单位无关),等级确定后,是否报上级主管部门审批,由各行业自行决定。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。

    (六) 公安机关审核

    公安机关收到信息系统运营使用单位备案材料后,应对信息系统定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线,应予以高度重视,严格把关。信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。

    三、如何确定信息系统安全保护等级

    (一)如何理解信息系统的五个安全保护等级

    信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准,既不就高、不就低。

    为了帮助信息系统运营使用单位准确确定信息系统安全保护等级,可以参考下列对五级的说明确定系统等级。

    第一级信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统。

    第二级信息系统:一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

    第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。

    第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

    第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。

  • 一、等级保护测评的依据:

    依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第十四条: 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

    第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

    二、等级保护工作的步骤

    运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:

    1、确定信息系统的个数、每个信息系统的等保级别。

    2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

    3、向属地公安机关网监部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。

    4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)

    5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交网监部门进行备案。

    6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。

    三、等级测评的流程:

    1、差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、等级保护工作的步骤 运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作: 1、确定信息系统的个数、每个信息系统的等保级别。

    2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

    3、向属地公安机关网监部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。

    4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)

    5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交网监部门进行备案。

    6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。 三、等级测评的流程: 差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。 1、 测评准备活动阶段 签订《合同》与《保密协议》 首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条

  • 信息安全等级保护建设通常分为定级阶段、规划阶段、建设实施阶段、系统运维阶段、系统终止阶段五个阶段。

    1信息系统现状描述

    2信息安全等级保护定级

    3信息安全风险评估及差距分析

    4.信息安全等级保护安全体系设计

    5.详细加固方案设计

    6信息系统安全加固

    7信息系统等级保护培训信息系统等级测评

    8信息安全等级保护运维

    系统定级是进行等级保护规划和建设的前提,是等级保护建设的起点,本阶段需要对信息系统进行识别和描述,明确保护对象,对信息系统的子系统进行划分,确定用户信息系统以及子系统的安全级别。本阶段的建设要点是系统定级的准确性。需要根据各业务系统的运行特征,分析所需的安全防护级别,确保在满足《信息安全等级保护定级准则》要求的基础上,不过高定级。保障信息安全建设资源的合理分配。

    根据定级情况对信息系统进行全面的风险评估和等保的合规性检查,以ISO 17799 和《信息安全等级保护基本要求》为标准,对信息系统的安全状况进行全面的评估,分析安全需求。并根据所获取的安全需求,进行安全体系设计和安全建设规划。

    该阶段的要点内容是通过风险评估准确分析现有系统和等级保护基本要求的差距,并根据等保的基本要求建立安全体系模型,根据各系统风险值的不同,划分安全区域,并针对各安全区域的不同安全需求,进行技术体系和管理体系的整体规划。为后续的详细方案设计和建设实施工作进行指导和规划。

    以安全体系设计方案为蓝本,对系统建设方案进行完善和修改,按照等保的要求完成信息系统的建设工作。并依照信息安全等级保护中安全管理的要求,为信息系统的后续运维工作制定一套完整的安全管理体系。 该阶段的要点内容是将安全体系模型进行落地,通过详细设计明确每一个实施环节的具体内容,并进行可行性分析,对集成方案中不合理的部分进行修改。通过实施建设对方案进行进一步验证,当发现设计方案中不合理的部分。

    对系统进行预测评,对不符合等保要求的部分进行整改。对信息系统的相关负责人进行培训,使其了解测评的基本步骤和基本内容,明确他们在测评工作中的责任。在测评工程中提供技术支持,对测评人员提出的疑难问题进行解答,对测评报告初稿进行审阅,找出不合理的扣分项,向测评机构进行申诉。确保信息系统能够顺利通过等保测评。

    该阶段要点内容是熟悉测评的基本要求和流程,将测评内容贯彻到每个系统负责人身上,并使他们明确自己需要向测评人员介绍那些部分,应该如何向测评人员介绍

    该阶段是信息安全系统生命周期的最后一个环节,主要指的是信息系统的废弃,功能上的变迁,或者是整体系统的迁移。

展开查看更多 ∨

完善高效的服务流程

金诚信息安全服务资质

客户案例

  • 郑州黄河中心医院
  • 龙江交投

常见问题

金诚信息安全
金诚信息安全 AI智能封禁,精准防护
0000-00-00 00:00:00
  • 金诚信息安全
    你好,有任何问题请与我们联系!服务热线:13845109681

选择聊天工具:

在线客服 在线客服