為幫助會員單位解決三級等保有關(guān)問題��,銀川互聯(lián)網(wǎng)+醫(yī)療健康協(xié)會秘書處近期與已取得三級等保備案的部分會員單位進行訪談���,了解申辦三級等保相關(guān)流程及其在辦理過程中的注意事項。在此對給予幫助的會員單位表示感謝!現(xiàn)將分享的內(nèi)容匯總?cè)缦拢└鲿T單位參考���。
【特別說明!】以下內(nèi)容是有關(guān)單位在不同省份三級等保辦理的經(jīng)驗分享����,僅供大家參考���,具體請以銀川公安部門的意見為準!
問:辦理三級等保的具體流程是什么?
答:具體操作流程如下:
第一步,企業(yè)自己應(yīng)先按照三級等保的基本要求進行平臺的軟硬件搭建�����,再按照三級等保的測評要求進行自評�。
第二步,找一家靠譜的咨詢公司(適用于初次申請者)���,幫助公司進行申請準備��,可以到當?shù)鼐W(wǎng)安支隊進行詢問�����。
第三步�,尋找有資質(zhì)的第三方測評公司(在準備或自評工作時即可開展)��,對公司各項指標進行初次測評,給出測評意見�����,公司隨后按照測評意見進行修改���。
第四步����,修改完成后�����,測評公司對修改后的各項指標進行再次測評�,并給出測評報告和結(jié)論分,互聯(lián)網(wǎng)醫(yī)療領(lǐng)域目前80分(具體以當?shù)貙嶋H要求為準)以上一般都符合要求����。
第五步,80分以上公司即可以第三方公司測評報告�,前往公安機關(guān)備案,辦理證書����。
問:辦理三級等保的整體投入大約多少?
答:三級等保辦理主要還是看公司現(xiàn)有系統(tǒng)的各項軟硬件基礎(chǔ)��,現(xiàn)有設(shè)施越嚴格���、標準越高,在申請三級等保工作中投入成本相對少些��。如果系統(tǒng)最開始建立時�,就參照了三級等保的有關(guān)要求搭建�����,各項硬件都有�����,可能就僅需要完善有關(guān)管理制度����,修補一些最新的系統(tǒng)漏洞等,整體投入可能也就是一個測評費用�。反之,如果前期投入不足�����,則意味著后期要按照三級等保的要求,進行相關(guān)的制度建設(shè)����,購買三級等保要求的各項硬件,修改系統(tǒng)各項程序等�����。即除測評費用外�����,公司可能還需要投入硬件購買�,系統(tǒng)修改、制度建設(shè)等方面人力成本的支出��,甚至是咨詢費用等��,費用和時間成本也就更高了��。
問:辦理三級等保最關(guān)鍵的是什么?
答:初次辦理的話����,要找能被認可的有資質(zhì)的測評公司和靠譜的咨詢機構(gòu)����,因為第一次辦理的話����,只靠自己摸索根本完不成。目前三級等保都有地域認可限制�����,找到一家被認可的有資質(zhì)的測評公司非常重要�。同時,有資質(zhì)的測評機構(gòu)前后僅出兩次測評意見���,需要專業(yè)的咨詢機構(gòu)來給出具體的可操作性的意見,可以節(jié)約很多時間�。
有豐富經(jīng)驗以后,可以適當省下一些費用�����,但該有的硬件成本要有����,測評公司給出的修改建議如系統(tǒng)方面的安全漏洞����、物理安全法方面的設(shè)施防護欠缺�、管理制度方面的不足等問題要及時更改。
問:測評機構(gòu)給出意見后�����,整體的改動大不大?
答:初次辦理的話��,測評之后可能在機房設(shè)施���、系統(tǒng)安全����、管理制度各方面會被挑出很多問題���,如管理制度方面���,長時間不登錄要重新注冊修改密碼,設(shè)定管理員����、審計員角色�,有關(guān)日志等��,硬件方面���,購買被認可的硬件設(shè)備等等����。
問:辦理三級等保過程中����,你們的問題主要出在哪里?
嘉賓:網(wǎng)絡(luò)架構(gòu)、硬件設(shè)備��、安全設(shè)備���、系統(tǒng)版本等���,特別是管理制度方面�����,一般缺失的比較多���,需要完善和執(zhí)行�,日常的安全工作也非常重要。有了辦理經(jīng)驗后�,機房設(shè)施和管理制度方面可能出現(xiàn)的問題就會減少,主要就是一些系統(tǒng)安全方面的漏洞修補���。
三級等保簡稱“等保三”�,是一種網(wǎng)絡(luò)信息安全評價標準�,一般由市級網(wǎng)絡(luò)安全公安大隊來負責(zé)給企業(yè)備案,我國把信息系統(tǒng)的安全保護等級分為五級�����,其中第三級是非銀機構(gòu)的最高級認證��,屬于“監(jiān)管級別”�。
一、對平臺的安全設(shè)備要求苛刻���。不僅要實現(xiàn)防篡改�、防ddos攻擊等功能��,還需配備堡壘機��、日志審計、防火墻���、災(zāi)備系統(tǒng)等安全設(shè)備;更要聘請專業(yè)技術(shù)維護人員為平臺系統(tǒng)安全提供支撐�,這些都需要公司投入大量資金�,對公司的財力是一大挑戰(zhàn)。
二���、對平臺運營公司制度體系的完善程度要求高���。其中包括完善的管理制度和對應(yīng)制度執(zhí)行情況的證明、記錄���,涉及人事�、財務(wù)���、項目工程開發(fā)���、管理等各個方面�,每一個環(huán)節(jié)都須提供制度對應(yīng)的表格來支撐。
三���、對業(yè)務(wù)平臺系統(tǒng)應(yīng)用自身的安全性要求高��。例如對賬號密碼復(fù)雜度定期修改就有很苛刻的要求:需要有所有相關(guān)用戶的登陸時間����、Ip地址;需要對如何更改手機號碼、身份證號碼�����、銀行卡號等重要操作進行詳細的日志審計�。
四、記錄;需要對用戶數(shù)據(jù)隱私性保護�、業(yè)務(wù)系統(tǒng)敏感信息的脫敏、加密存儲要求等要求有詳細說明;需要實時監(jiān)測系統(tǒng)是否存在應(yīng)用安全漏洞�����。
聲明:本文來自銀川互聯(lián)網(wǎng)+醫(yī)療健康協(xié)會��,版權(quán)歸作者所有����。文章內(nèi)容僅代表作者獨立觀點,不代表本站立場,轉(zhuǎn)載目的在于傳遞更多信息��。如有侵權(quán)�����,請聯(lián)系刪除��。
等保測評咨詢
