网站安全等级保护备案流程

建议网站二级等保建设作为一个整体进行测评和备案。

从调研、选择安全服务商，到合同签订，进入实施阶段，进行安全排查和自我整改、安排测评机构现场测评及测评后整改、再测评，以及贯穿期间的材料补充和整理等

各阶段实施过程中，可参考的规范性标准依据如下：

系统定级阶段：《信息系统安全保护等级定级指南》

安全保护：《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》

检测评估：《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、相关行业标准、用户自身业务安全需求

监督检查：《信息系统安全等级保护监督检查要求》

2、等级保护要求--技术要求和管理要求

一级：具有15个技术目标，16个管理目标；

二级：具有29个技术目标，25个管理目标；

三级：具有36个技术目标，27个管理目标；

四级：具有41个技术目标，28个管理目标。

3、测评机构可以开展的业务

定级咨询、备案指导。

差距评估：根据信息系统安全等级保护要求基线，制定差距评估方案网站安全备案，并现场开展差距测评。

安全整改指导：针对评估中发现的不符合性给出具体可以实施的修复建议，并指导整改落实。

完成等保定级测评，出具定级测评报告。

根据需要提供后续年度安全测评服务。

4、现场评估工作方式

配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。

工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。

人员访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按调查模版要求进行面对面访谈。

资料审阅----查阅信息系统建设、运维过程中的过程文档、记录，采用分时段系统查阅和有针对性抽样查阅的方法进行。

小组评议----组织小组成员运用恰当的风险分析方法进行集体会诊评议。

---------------------

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!