常见问题 > 哪些单位必须过等保测评?等保三级基本要求

哪些单位必须过等保测评?等保三级基本要求

作者:小编 发表时间:2024-06-17 10:25

  信息安全等级保护共分为5级,其中要获得等保三级认证并不容易。哪些单位必须过等保测评?今天小编就详细跟大家介绍下等保测评的相关内容。

  哪些单位必须过等保测评?

  《计算机信息系统企业集成资质证书》:由于国家将等级保护建设定义为计算机信息系统集成类工程,因此承建等保建设项目的公司或企业单位必须具备此项资质认证。

  公安部认可的测评服务单位资质认证:这是对等级保护测评服务机构或单位的基本要求,只有具备该资质认证的企业才能对等级保护建设业主单位进行测评,所出具的测评报告才具有等级保护测评效力。

  公安部认可的等级保护测评服务人员资格认证:对于测评机构的测评人员,要求其具备公安部认可的等级保护测评服务人员资格认证,并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。

  信息安全专用产品销售许可证:对于安全产品,必须为国产品牌产品,且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。

  安全产品的操作系统要求:安全产品的操作系统要求符合保护等级操作系统同级要求,必须使用自主研发的安全操作系统,不能使用普通操作系统或未经加固的操作系统。

  此外,等保测评公司还应具备完善的信息安全管理体系、专业的技术团队、国家认可的测评资质以及完善的服务体系,确保公司内部信息安全风险得到有效管理,能够独立完成等保测评工作,并提供全面的信息安全保障。

哪些单位必须过等保测评.png

  等保三级基本要求

  一、物理安全:

  1、物理位置的选择

  本项要求包括:

  a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

  b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

  2、物理访问控制

  本项要求包括:

  a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

  b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

  c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

  d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

  二、网络安全:

  1、应绘制与当前运行情况相符合的拓扑图;

  2、交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;

  3、应配备网络审计设备、入侵检测或防御设备;

  4、交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;

  5、网络链路、核心网络设备和安全设备,需要提供冗余性设计。

  三、主机安全:

  1、服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;

  2、服务器(应用和数据库服务器)应具有冗余性,例如需要双机热备或集群部署等;

  3、服务器和重要网络设备需要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞(例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);

  四、应配备专用的日志服务器保存主机、数据库的审计日志

  1、应用安全:

  a) 应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;

  b) 应用处应考虑部署网页防篡改设备;

  c) 应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);

  d) 应用系统产生的日志应保存至专用的日志服务器。

  2、数据安全:

  a)应提供数据的本地备份机制,每天备份至本地,且场外存放;

  b)如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份;

  五、等保三级的管理制度要求

  安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

  哪些单位必须过等保测评?信息系统处理能力和连接能力在不断的提高。整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。