网站地图
等保评测咨询

哈尔滨等保定级中专家评审需要注意哪些?

陆陆科技 | 2023-12-25 09:39

各单位首先要确定定级对象,然后需要对自己单位的所有系统进行梳理,对每一个系统进行一个初步预定级,如果认为该系统应该为二级以上,就应该进行专家评审,但是很多单位对于自己单位的系统认识不够,所以建议所有的系统都应该做专家评审。

避免出现二级(含二级)以上系统没有定级备案的情况,避免因为信息系统没有定级备案而被违法处罚。专家评审后有主管部门的报主管部门审核,审核后出具定级审批意见后,报给公安机关备案审查,公安机关属于终审,如果公安机关认为仍然定级不准备,则重新调整回到第一步。公安机关审核通过后,最终确定等级,出具备案证明。

各个行业都有各自的行业标准,比如电力,金融,航空,医疗等,但是所有的标准必须尊从网络安全等级保护的标准,除非行业标准高于等保标准。即便是行业标准高于等保标准,公安机关也是按照等保标准而不是行业标准去执法。

专家评审注意问题:

1.专家评审的时候,不是审查备案表和定级报告的瑕疵,文件的毛病,不是看系统的安全性和否缺少了什么安全防护设备。

2.专家的主要职责是根据系统的重要程度,根据系统被破坏后产生的影响后果去确定系统的级别,这才是专家评审的意义。其实系统定级是一件比较难,也非常重要的工作。系统级别确定后,系统就要按照这个标准去建设,去防护。

3.专家评审时,应该对系统的边界划分清楚。有些单位习惯把一些系统合并成为一个系统,专家应该审核这种合并的合理性。

4.在评审表中应该考虑系统服务安全和系统业务安全,并认清对应的级别。

5.在评审时,很多单位会把所有的系统都拿出来评审,对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。

系统定级仍然可以参考公安部2007年7月下发的《等级保护实施主要技术环节说明》。

作为定级对象的信息系统应具有如下基本特征:

a)  具有确定的主要安全责任主体;

b)  承载相对独立的业务应用;

c)  包含相互关联的多个资源。

注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;

 

注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。

如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。