等保三級(jí)的來(lái)源
2007年7月24日,公安部��、國(guó)家保密局�����、國(guó)家密碼管理局�、國(guó)務(wù)院信息化工作辦公室制定了《信息安全等級(jí)保護(hù)管理辦法》�。辦法將信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)����,等級(jí)越高,安全保護(hù)能力就越強(qiáng)�����。國(guó)家等級(jí)保護(hù)認(rèn)證是中國(guó)權(quán)威的信息產(chǎn)品安全等級(jí)資格認(rèn)證�����,由公安機(jī)關(guān)依據(jù)國(guó)家信息安全保護(hù)條例及相關(guān)制度規(guī)定,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)����,對(duì)各機(jī)構(gòu)的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行認(rèn)可及評(píng)定����。其中第三級(jí)是非銀機(jī)構(gòu)的高級(jí)認(rèn)證�����,屬于“監(jiān)管級(jí)別”。由國(guó)家信息安全監(jiān)管部門(mén)進(jìn)行監(jiān)督����、檢查�,認(rèn)證���,需要測(cè)評(píng)內(nèi)容涵蓋范圍廣�����,類(lèi)目多而且要求較為嚴(yán)格�。
各等級(jí)信息系統(tǒng)的保護(hù)能力及被破壞后的侵害程度如下表所示:
2016年8月24日���,信息安全等級(jí)保護(hù)被P2P網(wǎng)貸行業(yè)監(jiān)管層寫(xiě)進(jìn)P2P網(wǎng)貸監(jiān)管實(shí)施細(xì)則里。即銀監(jiān)會(huì)會(huì)同工業(yè)和信息化部���、公安部���、國(guó)家互聯(lián)網(wǎng)信息辦公室等部門(mén)發(fā)布的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》���。
該辦法第三章第十八條指出�����,網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求,開(kāi)展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試��,具有完善的防火墻����、入侵檢測(cè)����、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度���,建立信息科技管理、科技風(fēng)險(xiǎn)管理和科技審計(jì)有關(guān)制度���,配置充足的資源,采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運(yùn)行����,保護(hù)出借人與借款人的信息安全�����。獲得信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證的平臺(tái)需要通過(guò)300多項(xiàng)測(cè)試,通過(guò)信息系統(tǒng)安全“等保三級(jí)”的認(rèn)證則意味著技術(shù)安全和控制層面能達(dá)到國(guó)家指標(biāo)�����,具備安全事件發(fā)現(xiàn)、應(yīng)對(duì)的能力等保三級(jí)���,以及信息系統(tǒng)受到攻擊或破壞時(shí)的快速恢復(fù)﹑數(shù)據(jù)信息防泄露防偷的實(shí)力�。
如何快速通過(guò)三級(jí)等保
就目前從各地細(xì)則看�,上海地區(qū)在三級(jí)等保方面要求網(wǎng)貸平臺(tái)按照國(guó)家標(biāo)準(zhǔn)測(cè)評(píng)����,且測(cè)評(píng)分?jǐn)?shù)不低于90分�;廣東地區(qū)對(duì)等保三級(jí)要求也從原來(lái)的60分提高到了80分以上。而北京金融監(jiān)管部門(mén)暫時(shí)未對(duì)三級(jí)等保測(cè)評(píng)的分?jǐn)?shù)提出具體要求等保三級(jí)�,但考慮到上海和廣東地區(qū)已實(shí)施相關(guān)政策���,北京地區(qū)應(yīng)該不會(huì)差別太大���。
通常情況下,平臺(tái)的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作需測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求的5個(gè)層面(包括物理安全���、網(wǎng)絡(luò)安全、主機(jī)安全�、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等)和安全管理要求的5個(gè)層面(包括安全管理制度�、安全管理機(jī)構(gòu)��、人員安全管理����、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等)���,主要包含信息保護(hù)����、安全審計(jì)���、通信保密等在內(nèi)的近300項(xiàng)要求��,共涉及測(cè)評(píng)分類(lèi)73類(lèi)����,要求十分嚴(yán)格�,具體的流程也十分復(fù)雜����。根據(jù)不同平臺(tái)的安全水平�����,整改所需的具體時(shí)間也有很大的差異�,多則兩����、三個(gè)月少則也要一個(gè)月��。面對(duì)愈發(fā)緊迫的備案時(shí)間�����,平臺(tái)應(yīng)該尋求行業(yè)經(jīng)驗(yàn)豐富的專(zhuān)業(yè)機(jī)構(gòu)的幫助��。
信息安全等保工作評(píng)定步驟:
時(shí)代新威信息安全等保顧問(wèn)服務(wù)”具體實(shí)施流程:
