现在很多信息系统想要上线都需要做等保测评,如果不能通过等保测评,不仅系统不允许上线,同时一旦出现了网络安全事件,相关企业还需要承担重要的责任。目前如果是为政府、事业单位、国企等开发系统,等保测评报告也是重要的验收材料。如果是货运、互联网医院等系统,不通过等保就没有办法办理相关执照,所以等保测评非常重要。
那等保测评需要如何做,有哪些流程?
等保测评一般涉及到几方单位,软件开发商、使用方、安全服务企业、测评单位、网监。软件开发商开发的软件再被使用方使用以后,就需要做等保测评,等保测评不仅需要系统,还需要机房、网络设备、安全设备、服务器等,如果使用方本身没有,就需要向安全服务机构采购设备,并且不符合等保要求的,服务机构会协助整改,并且服务机构会帮助用户进行备案、选择测评单位。整改完成后可以由测评单位进行测评,出具测评报告。网监负责定级备案证明发放。
等保测评一般有定级备案、差距分析、整改、等保测评、安全运营几个流程。
1、安全服务机构协助用户对系统进行定级,出具等保备案材料,用户送到网监即可开展备案。
2、安全服务机构帮助用户系统进行差距分析,包括软件本身、安全设备、机房环境、相关制度等,对不满足要求项会协助用户整改。
3、出具整改方案,协助用户购买相关设备等,使其满足等保要求。
4、测评单位对系统、安全设备、网络设备、服务器、数据库、软件、制度等进行测评,如满足等保要求出具等保测评报告,用户可持等保测评报告去网监换取备案证明。
5、三级系统要求每一年复测一次,二级系统要求每三年复测一次,网监部门会定期进行监督检查。