等保咨询热线:15084670000,15124562202
一、等级保护概念(信息安全等级保护)
网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
二、等保在保险行业的必要性
1.法律依据:《中华人民共和国网络安全法》规定:等级保护,是我国信息安全保障的基本制度。第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务一保障网络免受干扰破坏或者未经授权的访问,防止网络数据泄露或者被窃取、算改。
2.行业要求:2021年《保险中介机构信息化工作监管办法》
2019年《互联网保险业务监管办法》
2018年中国银保监会印发《中国银保监会关于继续加强互联网保险监管有关事项的通知》
2015年中国保监会关于印发《互联网保险业务监管暂行办法》的通知 保监发(2015)69号
2007年《关于开展保险业信息系统安全等级保护定级工作的通知》(保监厅监管部门发(2007)45号)
金融行业法律法规:
《金融行业信息系统信息安全等级保护实施指引》 (JR/T0071-2012)2012年2012年《金融行业信息系统信息安全等级保护测评指南》(JR/T0072-20122012年《金融行业信息安全等级保护测评服务安全指引》 (JR/T0073-2012)2012年《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发(2012)163号)
2011年《证券期货业信息系统安全等级保护基本要求(试行)》 (JR/T
0060-2010)2007年《关于做好证券业重要信息系统安全等级保护定级工作的通知》(中证协发字[20071117号)
3.规避风险:保险信息具有极高的敏感性,它包含了个人的一些隐私信息。一旦信息泄露,不仅会影投保人的个人隐私,还可能导致法律纠纷等问题,给保险机构带来巨大的经济和声誉损失。因此,保险行业需要采取一系列措施,保护保险信息的安全性,避免敏感信息被非法获取和滥用。
三、办理等保的好处
1.免于处罚:信息系统运营、使用单位履行网络安全等级保护制度要求,履行安全保护义务,符合行业监管部门要求,相关责任人可以免于相应的处罚和来自停止保险业务的风险。
同时也是成为互联网保险申请的准入门槛,持牌机构等级保护达到三级,非持牌机构等级保护达到二级。
2.安全要求:通过开展等级保护工作,可及时发现系统与国家安全标准之间存在的差距,查明系统内部存在的安全隐患与不足之处,通过安全整改,提升系统的安全防护能力,降低被攻击的风险,减少不必要的财产损失。
3.可信度增加:信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
四、陆陆一站式服务
第一步,定级+备案
系统级别确定之后需要把定级材料提交到市一级的公安机关网安部门办理备案手续。备案成功后,由当地网安部门颁发《备案证明》。备案证明信息包括:单位名称、系统名称、系统级别等信息。拿到 “备案证明” 便确定了系统的级别。
定级材料:以下材料均由我们负责编写(1天-3天),并帮助办理 (1天)
1、信息安全管理制度:
2、网络拓扑图:
3、安全产品清单及销售许可证:
4、信息安全保护设施设计方案:
5、专家评审:
6、IP及应用真实地址:
7、信息系统安全等级备案表
8、信息安全系统定级报告
第二步,建设测评及整改:均由黑龙江陆陆信息信息科技负责对接测评和整改 (20天)
等保测评标准:测评技术服务依据:等保测评2.0标准,根据国家实际情况进行更新
1、初步测评:对信息系统涉及的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距测评,并提交不符合项表和整改建议
2、漏洞扫描:对被测信息系统服条器、应用系统进行漏洞扫描,列出被测信息系统中存在的主要问题以及可能造成的后果,并提出整改建议。
3、渗透测试:根据扫描结果进行漏洞分析及说明,对互联网信息系统展开渗透测试进行弱口令测试及其他手工测试,并提交修复建议。
4、等保整改:(网络、安全、应用、制度等)等合规整改,结合信息系统开发公司和安全厂商进行合规整改
5、测评报告编写、审核及专家评审:测评报告由专家审核,后盖章签字,需要上传给等保系统
6、打印报告及邮寄,签署确认单 ,邮寄合格的测评报告和甲方确认验收单。并把测评报告送往当地网安
最后到用户手里的是等保测评证书(备案证明和合规的等保测评报告)
第三步,监督检查
测评完成后,被测评单位将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,测评工作完成。公安机关网安部门负责对等级保护网络的监督、检查、指导工作。
五、保险行业定级建议
| 分类 | 信息系统 | 建议安全保护等级 |
| 保险销售、投保类 | 自营网络平台 | 三级 |
| 核心业务系统 | 三级 | |
| 相关保险销售和投保系统 | 三级 | |
| 不具有保险销售、投保类 | 支持该自营网络平台运营的信息管理系统和核心业务系统 | 二级 |
| 外、内勤管理系统 | 二级 | |
| OA办公系统 | 二级 | |
| 相关自营网络平台和信息系统 | 二级 |
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。
