- 发布
- 上海道商企业服务中心
- 电话
- 02162530000
- 手机
- 15021594806
- 发布时间
- 2025-04-05 16:42:23
等保三级是中国对非银行机构的信息系统安全等级保护认证,涵盖物理安全、网络安全、主机安全、应用安全和数据安全备份等方面,测评内容全面且严格。企业通过了等保三级测评,能建立健全的网络安全保障体系,有效防御网络威胁,保障用户信息安全。测评流程包括系统定级备案、初次测评、系统整改和系统复测。费用包括测评费、整改加固费和安全产品购买费。
等保三级,即信息安全等级保护第三级(监督保护级),是中国的信息产品安全等级资格认证之一。它是由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定的结果。等保三级认证主要针对非银行机构,代表着国家对非银行机构的监管级别,由国家信息安全监管部门进行监督、检查。等保三级认证的测评内容非常全面,涵盖5个等级保护安全技术要求和5个安全管理要求,包括信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类。
·
机房区域划分
:主机房和监控区至少应划分为两个部分。
·
机房设施
:配备电子门禁系统、防盗报警系统、监控系统,机房应无窗户,配备专用的气体灭火、不间断电源(UPS)供电系统等。
·
拓扑图
:应绘制与当前运行情况相符合的网络拓扑图。
·
设备配置
:交换机、防火墙等设备配置要符合规定,如VLAN划分、逻辑隔离、QoS流量控制策略、访问控制策略、IP/MAC绑定等。
·
安全设备
:应配备网络审计设备、入侵检测或防御设备,交换机和防火墙的身份鉴别机制需满足等保要求。
·
服务器配置
:服务器自身配置要符合规定,包括身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备。
·
服务器冗余
:服务器应具有冗余性,例如需要双机热备或集群部署等。
·
漏洞扫描
:服务器和重要网络设备在上线前需要进行漏洞扫描评估,不应有中别以上的漏洞。
·
日志管理
:应配备专用的日志服务器保存主机、数据库的审计日志。
·
功能合规
:应用自身功能应符合等保要求,包括身份鉴别机制、审计日志、通信和存储加密等。
·
网页防篡改
:考虑部署网页防篡改设备。
·
安全评估
:应用的安全评估应不存在中风险以上的漏洞。
·
日志记录
:应用系统产生的日志应保存至专用的日志服务器。
·
本地备份
:应提供数据的本地备份机制,每天备份至本地,并且场外存放。
·
异地备份
:如有核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。
1.
系统定级、备案
:初步评估系统等级并提交备案,公安审批通过后下发定级备案证。
1.
初次测评
:出具差距测评报告。
1.
系统整改
:包括安全管理制度、软件、基础架构等方面的整改。
1.
系统复测
:出具等保测评报告。
等保三级测评费用主要包括三个部分:
1.
测评费用
:由正规有等保测评资质的机构执行,价格受系统规模、地区和等保等级的影响。
1.
整改加固费用
:包括应用整改、主机整改和制度整改三个方面。
1.
安全产品购买费用
:根据等保测评等级配套购买安全产品。
· 在准备等保测评时,需要了解被测评公司的系统是否已经上线运营,以及系统是由公司内部人员开发还是外包给第三方开发公司。外包情况下,软件整改需要外包公司全力配合。
等保三级是一个全面而严格的测评标准,旨在确保信息系统能够有效防御各种网络威胁。企业通过等保三级测评不仅能够建立健全网络安全保障体系,还能有效维护和防御系统被入侵和攻击,保障用户信息安全。