安全合规/等级保护--13--我们通过了等级保护三级认证
一、总结
我司的等级保护为等保1.0(因为还没开始施行等保2.0),级别为三级,最终分数为82分,日期为2019年9月底。
本次等级保护工作我们没有请任何咨询机构或个人,没有购买任何安全基础设施,没有购买任何等保相关的服务,是直接请测评机构过来审核的。所有等保相关的基础工作全部由我们安全团队完成,包括安全基础设施搭建和运营(基于开源二次开发)、安全制度的制定和落地、安全技术能力的实施等
等级保护三级项目是我在涂鸦做的多个合规项目之一,除此外还有(ISO 27001、ISO 27017、ISO 27018、GDPR、CCPA),原计划第三季度完成。同时等级保护也是一个我全程跟进的合规项目,极大的丰富了我自身的安全合规经验。
1.1、负责人准备工作
1、通读并解读《网络安全法》。
2、通读并解读《网络安全等级保护官方要求》,一般只需要研究对应级别的条款即可。
3、准备相应的材料。你不知道需要啥材料的时候,也可以不准备,因为初审之后会给出公司详细的缺失点,你补充好后进行复审就可以了。
1.2、顺便总结一下各合规项目的终极形式
合规项目 | 终极形式 |
---|---|
等级保护 | 信息系统安全等级保护备案证明 |
ISO 27001 | 合规证书 |
ISO 27017 | 合规证书 |
ISO 27018 | 合规证书 |
GDPR | 安全合规报告 |
CCPA | 安全合规报告 |
可见,并不是所有的合规项目最终都是发一个证书,因为有些合规并没有什么所谓的“官方认证机构”
或“官方授权机构”
,因此,只有一些专业的第三方出具的背书(这个东东不能叫做证书,只能算是安全合规报告,类似渗透测试报告一样)
1.3、以上安全合规项目的难度(我认为的)
难度排序 | 合规项目 |
---|---|
1 | ISO 27001(要真正做好,那叫生不如死) |
2 | ISO 27017 |
3 | GDPR |
4 | ISO 27018 |
5 | 等级保护 |
6 | CCPA(整个周期仅需一个月) |
二、等级保护其他说明
1、
等保总分为100分,60分以上合格,可以拿到“合格的证书”,60分以下不合格,可以拿到“不合格的证书”,因此为了拿到”合格的证书“,需要修复漏洞以提高分数。实际上60-90分之间为常规区间,通常没有100分
2、
高危问题拥有“一票否决权”,即不管你其他工作完成的多好,只要有一个高危问题存在,直接不合格
3、
分数是将证明材料录入到系统中,系统判分的,不是人判分的。第一次现场审核时会将证明材料录入系统,进入系统判分阶段
4、
等保项目周期取决于甲方修复的时间,甲方理论上可以无限期修复问题,但实际上做等级保护也是为了快速拿证以提高竞争力,不会出现这种沙雕情况
5、
以录入系统开始,半年后如果没有任何进展,系统将清空日志,所有工作清零
即:
乙方审核组在现场审核结束后,进入甲方修复阶段,甲方如果无限期拖延修复,半年后没有任何进展,系统日志将清空,所有工作清零需要重头做,一朝回到解放前。甲方要做的就是半年内完成修复并提交审核组,使得流程向后进行
6、
等级保护是国家强制的,不做等级保护是违法作业,但处罚力度很小,见《网络安全法》第21条和第59条
三、等级保护工作进展回顾
3月
开始联系市内各家等级保护测评机构,与各测评机构洽谈合作事宜,并定下来与价格最低的一家开展合作,之后开始协商合同
4月
协商合同,主要阻力在于我方法务同学不了解等级保护的特殊性(例如,等级保护完成的快慢实际上取决于我们整改的速度,但法务要在合同中加入等级保护完成时间限制,并加入逾期向乙方索赔违约金的条款),合同协商时间超过1个月
5月
合同协商完毕,等待乙方排期
6月
等待
7月
乙方等级保护工作组入驻现场审核,为期4天,我作为对接人全程跟进。审核组审核结束后,给出初审审核报告。话说和国内的乙方审核机构沟通就是舒服,国外的乙方审核机构真的就是爸爸,你得好好伺候着才行。
初审审核报告指出我们共有**个问题,其中**个为高危问题,最终得分为**分(不及格的分数),此处为了不涉密,全部隐去
随后,我确定每个问题对应的负责人,并安排修复。鉴于必要性和难度,只修复了高危问题和一些容易修复的
8月
跟进整体修复,并及时取证,其中一部分问题没人修复的,我就亲自上去搞定了
取证这一步是非常重要的,如果不取证,就没有办法证明这个问题是修复的
9月
排期的问题全部修复完成,证明材料提交审核组进行复审,复审后会反馈修复不合格的问题,对修复不合格的问题进行补修,补修后再次提交审核组审核
审核结束,分数合格。鉴于我不想延期并接受当前结果(如果不接受可以继续修复以提高分数),逐同意结束该项目并出具报告,至此等保工作结束
总结
可见等级保护工作其实时间并不是很长,实际中只有7月到9月在执行,其他几个月都是处于商定或等待的状态。
安全合规/等级保护--13--我们通过了等级保护三级认证相关推荐
- 阿里云官方推出操作系统“等保合规”镜像 -- Alibaba Cloud Linux 等保2.0三级版
前言 Alibaba Cloud Linux 2(原Aliyun Linux 2)是阿里云操作系统团队为云应用场景打造的一款云操作系统.随其发展,使用该系统的用户对安全的需求也不断增加.另一方面,根据 ...
- 合规当头,如何平衡数据共享与隐私保护?
随着数据的海量增长和数据潜在价值的不断提升,数据已经成为最重要的资产.据国际数据公司IDC预测,到2025年,中国数据圈在2025年增至48.6ZB字节,占全球27.8%,成为最大数据圈. 但社会各界 ...
- 等保合规2022系列 | 等级保护技术防护体系该怎样构建(上)
2022等保合规指南 第四篇 山石网科带你深入走进[等保] 通过<等保合规2022系列 | 今年,关于等保你该了解什么?>.<等保合规2022系列 | 一个中心+三重防护,助力企业等 ...
- 【隐私合规】隐私保护和数据保护合规大合集
CPO(首席隐私官) | IT战略和运营分享.IT高管和企业高管的百宝箱. (cioctocdo.com) [隐私保护合规]Data Mapping 数据映射 [ADPPA]ADPPA对美国数据监管的 ...
- 等保2.0标准发布一周年,行业用户如何有效落实合规建设
等保2.0标准发布一周年,行业用户如何有效落实合规建设 5月10日,等级保护2.0三项核心国家标准已经正式发布一周年.各行各业都非常重视等级保护建设,相继出台了行业等级保护政策及标准文件.新国标的发布 ...
- 信息安全等级合规测评
合规,简而言之就是要符合法律.法规.政策及相关规则.标准的约定.在信息安全领域内,等级保护.分级保护.塞班斯法案.计算机安全产品销售许可.密码管理等,是典型的合规性要求. 信息安全合规测评是国家强制要 ...
- 等保测评合规意味着什么,你有没有想太多了
等保测评合规,现在是很多需要参与等级保护的公司和单位,都需要满足的法律义务.但是,等保测评合规意味着本公司/单位的测评对象符合网络安全等级保护相关的网络安全建设要求,但是并不代表这个企业/单位的网络安 ...
- 正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具
一.开源背景 随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生.受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或 ...
- APP加固:助力移动应用安全合规
近日,工业和信息化部发布了2023年第2批侵害用户权益行为的App(SDK)名单,55款App因涉及强制.频繁.过度索取权限等问题而被通报.这一举措进一步凸显了合规对于APP发展的重要性. 根据工业和 ...
- 阿里云积极落实等级保护制度,政务云全国首个通过等保2.0合规评测
2019独角兽企业重金招聘Python工程师标准>>> 5月16日,阿里云"电子政务云平台系统"正式通过网络安全等级保护三级测评.这是等保2.0正式国家标准GB/ ...
最新文章
- 页面重新跳转到父类url
- 你能用微信小程序打开小程序了【附开发方法】
- 一个修改RAC REDO引起的DATAGUARD错误 的处理
- 手把手教你用express搭建个人博客(二)
- HDU 4907 BestCoder3_1 Task schedule
- zabbix 调用api 批量删除主机
- SLAM无人车 map_server在代码中切换地图,地图保存
- android 阅读器字体,为 Android 换上任意喜欢的字体,你可以试试这个 Magisk 模块...
- PHP 将百度地图上的一条线的点位进行平滑处理,画出一条曲线
- 谢谢版主整理的好材料,,妈妈再也不用担心的我的unity
- sqlserver2008已成功与服务器建立连接 但在登录过程中发生错误,指定的网络名不可再用(已解决)
- 第六节 ftpserver的安装与配置(Windows)
- c语言之奇偶数分开排序
- 小学计算机老师毕业留言,高三老师给学生的毕业留言
- 太用力的人跑不远(转)
- 【HTML5】H5新标签大实例
- 基于和芯星通UM482的RTK差分定位
- 利用批处理一键卸载Win10Win11系统自带APP
- 进一步了解XPath(利用XPath爬取飞哥的博客)【python爬虫入门进阶】(04)
- Dalvik虚拟机操作码
热门文章
- 百度网盘解压显示服务器错误,百度网盘、Winrar等解压文件解压出错怎么办?
- 破解电信光猫华为HG8120C
- 未能加载文件或程序集“Microsoft.Office.Interop.Excel, Version=11.0.0.0, Culture=neutral
- 下载离线aptana的eclipse插件
- 算法分析与设计实验报告一——分治算法
- 《The Django Book》笔记(未完结)
- 安装包制作工具 SetupFactory 详解
- 三星手机性能测试软件,三星Galaxy S III性能速测:一个字“快”
- 印象笔记Markdown样式美化
- 〖Python 数据库开发实战 - MySQL篇⑤〗- 为大家推荐几款经典的数据库可视化工具