转载-申请办理三级等保的经验分享!

2020-09-30 09:54:16 银川互联网+医疗健康协会 23

  为帮助会员单位解决三级等保有关问题,银川互联网+医疗健康协会秘书处近期与已取得三级等保备案的部分会员单位进行访谈,了解申办三级等保相关流程及其在办理过程中的注意事项。在此对给予帮助的会员单位表示感谢!现将分享的内容汇总如下,供各会员单位参考。

  【特别说明!】以下内容是有关单位在不同省份三级等保办理的经验分享,仅供大家参考,具体请以银川公安部门的意见为准!

  问:办理三级等保的具体流程是什么?

  答:具体操作流程如下:

  第一步,企业自己应先按照三级等保的基本要求进行平台的软硬件搭建,再按照三级等保的测评要求进行自评。

  第二步,找一家靠谱的咨询公司(适用于初次申请者),帮助公司进行申请准备,可以到当地网安支队进行询问。

  第三步,寻找有资质的第三方测评公司(在准备或自评工作时即可开展),对公司各项指标进行初次测评,给出测评意见,公司随后按照测评意见进行修改。

  第四步,修改完成后,测评公司对修改后的各项指标进行再次测评,并给出测评报告和结论分,互联网医疗领域目前80分(具体以当地实际要求为准)以上一般都符合要求。

  第五步,80分以上公司即可以第三方公司测评报告,前往公安机关备案,办理证书。

  问:办理三级等保的整体投入大约多少?

  答:三级等保办理主要还是看公司现有系统的各项软硬件基础,现有设施越严格、标准越高,在申请三级等保工作中投入成本相对少些。如果系统最开始建立时,就参照了三级等保的有关要求搭建,各项硬件都有,可能就仅需要完善有关管理制度,修补一些最新的系统漏洞等,整体投入可能也就是一个测评费用。反之,如果前期投入不足,则意味着后期要按照三级等保的要求,进行相关的制度建设,购买三级等保要求的各项硬件,修改系统各项程序等。即除测评费用外,公司可能还需要投入硬件购买,系统修改、制度建设等方面人力成本的支出,甚至是咨询费用等,费用和时间成本也就更高了。

  问:办理三级等保最关键的是什么?

  答:初次办理的话,要找能被认可的有资质的测评公司和靠谱的咨询机构,因为第一次办理的话,只靠自己摸索根本完不成。目前三级等保都有地域认可限制,找到一家被认可的有资质的测评公司非常重要。同时,有资质的测评机构前后仅出两次测评意见,需要专业的咨询机构来给出具体的可操作性的意见,可以节约很多时间。

  有丰富经验以后,可以适当省下一些费用,但该有的硬件成本要有,测评公司给出的修改建议如系统方面的安全漏洞、物理安全法方面的设施防护欠缺、管理制度方面的不足等问题要及时更改。

  问:测评机构给出意见后,整体的改动大不大?

  答:初次办理的话,测评之后可能在机房设施、系统安全、管理制度各方面会被挑出很多问题,如管理制度方面,长时间不登录要重新注册修改密码,设定管理员、审计员角色,有关日志等,硬件方面,购买被认可的硬件设备等等。

  问:办理三级等保过程中,你们的问题主要出在哪里?

  嘉宾:网络架构、硬件设备、安全设备、系统版本等,特别是管理制度方面,一般缺失的比较多,需要完善和执行,日常的安全工作也非常重要。有了办理经验后,机房设施和管理制度方面可能出现的问题就会减少,主要就是一些系统安全方面的漏洞修补。

  三级等保简称“等保三”,是一种网络信息安全评价标准,一般由市级网络安全公安大队来负责给企业备案,我国把信息系统的安全保护等级分为五级,其中第三级是非银机构的最高级认证,属于“监管级别”。

  一、对平台的安全设备要求苛刻。不仅要实现防篡改、防ddos攻击等功能,还需配备堡垒机、日志审计、防火墙、灾备系统等安全设备;更要聘请专业技术维护人员为平台系统安全提供支撑,这些都需要公司投入大量资金,对公司的财力是一大挑战。

  二、对平台运营公司制度体系的完善程度要求高。其中包括完善的管理制度和对应制度执行情况的证明、记录,涉及人事、财务、项目工程开发、管理等各个方面,每一个环节都须提供制度对应的表格来支撑。

  三、对业务平台系统应用自身的安全性要求高。例如对账号密码复杂度定期修改就有很苛刻的要求:需要有所有相关用户的登陆时间、Ip地址;需要对如何更改手机号码、身份证号码、银行卡号等重要操作进行详细的日志审计。

  四、记录;需要对用户数据隐私性保护、业务系统敏感信息的脱敏、加密存储要求等要求有详细说明;需要实时监测系统是否存在应用安全漏洞。

  声明:本文来自银川互联网+医疗健康协会,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。

图片关键词

标签: 等保