等保流程可以分为以下几个步骤:定级备案、初测及整改、测评和监督。
一、等保定级备案
根据《信息系统安全等级保护定级指南》和《信息安全等级保护管理办法》的要求,进行等保定级备案。包括以下几个步骤:
写信息安全管理制度,包括安全管理制度、组织体系及岗位职责运维管理等。写信息安全管理制度,包括安全管理制度、组织体系及岗位职责运维管理等。
2. 制作网络拓扑图,根据系统的安全网络情况进行编写。
3. 准备安全产品清单及销售许可证,包括安全销售许可和合规测评报告。
4. 信息安全保护设施设计方案,根据企业应用、网络和安全等方面制作保护方案。
5. 由专家进行评审,需要三名专家签字确认。
6. 提供服务器IP及应用真实地址。
7. 填写信息系统安全等级备案表,包括企业基本信息等。
8. 编写信息安全系统定级报告,根据相关文件要求,说明定级原因。
备案材料审批:准备好以上材料,甲方盖章后送至网安进行审批和答辩(审批时间为1-14天)。
二、测评及整改
根据等保测评2.0标准和国家相关要求,进行测评及整改。包括以下几个步骤:
- 进行初测评,对信息系统的机房、网络设备、安全设备、应用系统、安全管理体系等进行测评,并提出不符合项和整改建议。
- 进行合规整改,包括网络、安全、应用、制度等方面的整改。
- 对被测信息系统进行漏洞扫描,列出存在的主要问题并提出整改建议。
- 进行渗透测试,对互联网信息系统进行弱口令测试和其他手工测试,并提出修复建议。
- 完成整改后,进行验收测评,依据相关要求对信息系统进行评估并输出测评报告。
- 测评报告由专家审核后盖章签字,并上传至公安部第三研究所进行审核。
- 打印报告并邮寄给甲方,签署验收确认单。
以上是等保流程中的定级备案和测评整改两个主要步骤,最后根据实际需要进行后续的测评和监督工作。