등급 보호는 무엇을 해야 합니까?
일반적으로 등급 보호 작업에는 등급, 기록, 안전 건설, 등급, 감독 검사 5 개 부분이 포함됩니다. 이제 레벨 2.0 표준에 따라 레벨 3 레벨 레벨 보호 처리 프로세스에 대해 자세히 설명하겠습니다.
1, 시스템 등급
동등한 보호의 첫 번째 단계는 기업 정보 시스템의 보안 수준을 결정하는 것이다. 등보 2.0 의 등급 지침에 따르면 클라우드 컴퓨팅, 사물인터넷, 산업 제어 시스템, 모바일 인터넷 기술을 사용하는 시스템, 통신 네트워크 시설 및 데이터 자원은 강력한 문서화 범주에 속합니다. 비영리 단체, 중소 민영기업 등 다른 조직도 원칙적으로 등급을 매겨야 한다.
또한 관련 규정에 따라 평가 대상은 다음과 같은 세 가지 기본 특징을 가지고 있습니다.
(1) 주요 보안 책임 주체가 확인되었습니다.
② 상대적으로 독립적 인 비즈니스 응용 프로그램을 호스팅합니다.
(3) 상호 관련된 자원을 포함한다.
기업의 제도가 이런 특징을 지녔다면, 제도가 작더라도 등급을 매겨야 한다. 결론적으로, 인터넷의 거의 모든 시스템은 점수를 매겨야 한다.
그렇다면 보정 수준을 결정하는 방법은 무엇입니까? 등급보호와 관련된 관리 파일에 따라 등급보호 개체의 보안 수준은 5 등급으로 나뉘어 1 등급에서 5 등급으로 점차 높아지고 있다. 보호 대상의 수준은 두 가지 분류 요소, 즉 1 침해당한 대상에 의해 결정됩니다. (2) 대상에 대한 침해 정도. 핵심 정보 인프라의 경우,' 등급 원칙은 3 급 이상' 이 아니며, 3 급 이상 정보 시스템은 매년 또는 반년마다 평가해야 합니다.
등급 지정 프로세스: 등급 결정 대상 → 예비 등급 결정 → 전문가 검토 → 주관부 승인 → 공안기관 서류심사 → 최종 등급 결정.
2, 시스템 기록
네트워크 보안법의 규정에 따라:
(1) 2 급 이상의 정보 시스템을 운영 (운영) 한 경우 보안 등급 결정 후 30 일 이내에 (기록 시한은 보험 2.0 관련 기준에 따라 10 으로 개정됨) 운영 사용 단위에서 해당 지역 시급 이상 공안기관에 서류 수속을 밟아야 합니다.
(2) 새로운 2 급 이상 정보 시스템은 온라인 운영 후 30 일 이내에 (기록 시한은 보험 2.0 관련 기준에 따라 10 일로 개정됨) 운영사용 부서에서 해당 지역 시급 이상 공안기관에 신고 수속을 밟아야 한다.
(3) 지방간 또는 전국통일네트워킹운영, 주관부서가 통일등급으로 관리하는 중앙소속 주경 단위 정보시스템, 주관부서가 공안부에 등록한다.
(4) 지방 간 또는 전국 통합 네트워킹 정보 시스템이 각지에서 운영되는 하위 시스템은 해당 지역 시급 이상 공안기관에 신고해야 한다.
기업이 보장 대상 등급을 최종 확정한 후에는 공안기관에 가서 등록할 수 있다. 기록에 필요한 자료는 주로 정보 보안 수준 보호 기록표이며, 수준별로 정보 시스템에 필요한 서류는 다르다. 레벨 3 이상의 정보 시스템은 (1) 시스템의 토폴로지 및 설명을 제공해야 합니다. (b) 시스템 보안 조직 및 관리 시스템; (3) 시스템 보안 보호 시설 설계 및 구현 계획 또는 개조 구현 계획 (4) 시스템에서 사용하는 정보 보안 제품 목록 및 인증 및 판매 라이센스 인증서 (5) 시스템 안전 보호 수준에 부합하는 기술 테스트 평가 보고서를 평가한다. (6) 정보 시스템 보안 수준에 대한 전문가 평가 의견; (7) 정보 시스템 보안 수준에 대한 관할 부서의 승인 의견.
3, 안전한 건설 (정류)
등급 보호 정류는 동등한 보호 건설의 일환으로, 등급 보호 건설의 요구에 따라 정보 및 정보 시스템에 대한 네트워크 보안 업그레이드 (기술 정류 및 관리 정류 포함) 를 의미합니다. 정돈의 궁극적인 목적은 기업 정보 시스템의 보안 보호 능력을 높여 기업이 등급 평가를 순조롭게 통과할 수 있도록 하는 것이다.
등급 보호 정류는 자질 요구 사항이 없다. 회사가 등급 보호 요구 사항에 따라 관련 네트워크 보안 건설을 수행할 수 있는 한, 누가 실시할 것을 요구하지 않는다. 그러나 현재 기업 네트워크 보안 인재가 부족하기 때문에 기업들은 전문 네트워크 보안 서비스 회사를 찾아 정비해야 하는 경우가 많다.
정류는 주로 관리 정류와 기술 정류로 나뉜다. 관리 정류는 주로 주관 리더십과 책임 부서를 명확히 하고, 안전직과 인원을 실시하고, 안전관리 현황을 분석하고, 안전관리 전략을 확정하고, 안전관리제도를 제정하는 것을 포함한다. 보안 관리 정책 및 시스템에는 인력 보안 관리 이벤트 처리, 비상 대응, 장비의 일상적인 운영 및 유지 보수, 미디어 관리 및 보안 모니터링이 포함됩니다.
기술 정류는 주로 웹 페이지 변조 방지, 트래픽 모니터링, 네트워크 침입 모니터링 제품 등 동일한 보안 요구 사항을 충족하는 제품의 배포 및 구입을 의미합니다.
4. 등급 평가
등급평가는 공안부가 인증한 자격을 갖춘 평가기관으로, 국가정보안전등급보호규범에 따라 관련 기관의 의뢰를 받아 관련 관리규범과 기술기준에 따라 정보시스템 안전등급보호상태를 점검하고 평가하는 활동이다.
규정에 따르면 정보 시스템 보안 수준 보호 테스트에는 두 가지 측면이 포함되어야 합니다. 하나는 보안 제어 평가이고, 주로 정보 보안 수준 보호에 필요한 기본 보안 통제가 정보 시스템에 구현되고 구성되는 것입니다. 둘째, 전체 시스템 평가, 주로 정보 시스템의 전체 보안을 평가하고 분석합니다. 여기서 보안 제어 평가는 정보 시스템의 전체 보안 평가의 기초입니다.
2 급 이상 정보 시스템은 등급을 매겨야 하고, 등급 점수는 70 점 이상이어야 하며, 고위험 항목은 통과로 간주해야 한다. 등급 평가 후, 평가 기관이 평가 보고서를 발행합니다. 기업은 공안기관에 평가 보고서를 제출해야 등급 보호 업무를 진정으로 실시할 수 있다.
5, 감독 및 검사
기업은 공안기관의 비정기적인 감독검사를 받아 공안기관이 제기한 문제를 개선해야 한다.