黑龙江检察院检查工作网等级保护测评流程—陆陆科技
检察网等保测评流程:
1、定级
系统定级是等保工作的第一步,我们都知道,等级保护基本要求一共分为五个级别,如果不确定系统等级,就无法选择哪种等级要求进行等保工作。定级过程包括:“确定定级对象 —> 初步确定等级 —> 专家评审 —> 主管部门审核 —> 公安机关备案审查 —> 最终确定等级”。
2、备案
系统级别确定之后需要把定级材料提交到市一级的公安机关网安部门办理备案手续。备案成功后,由当地网安部门颁发《备案证明》。备案证明信息包括:单位名称、系统名称、系统级别等信息。拿到 “备案证明” 便确定了系统的级别。
3、建设整改
备案成功后,对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
4、等级测评
建设整改后,测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对被测评系统系统进行测试、评估,验证系统是否符合等级保护安全要求,并出具《等级测评报告》。
5、监督检查
测评完成后,被测评单位将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,测评工作完成。公安机关网安部门负责对等级保护网络的监督、检查、指导工作。
检察网等保测评的政策要求:
《检察工作网安全保障系统建设指导意见》提出“依据国家网络安全等级保护三级标准要求,建立和完善检察工作网网络安全保障系统,增强精确感知的安全预警能力和及时有效的安全防御能力、快速响应的应急处置和安全可靠的灾难恢复能力,实现网络安全由边界防护、被动防御向全域联动、主动防御转变,提高检察工作网整体防护水平,形成与智慧检务相适应的智能化网络安全保障系统。”检察机关积极推进检察工作网应用系统建设,逐步将目前在涉密网运行的非涉密应用迁移或改造部署到检察工作网,不断拓展检察工作网应用系统。检察工作网作为检察信息化建设的基础平台,服务检察业务,运行等级保护三级及以下的信息资源和应用系统,同时为实现与政法相关部门的业务协同、与相关政务部门间的信息交换提供网络和安全支撑。
方案建设思路:
(1) 等级保护思想
依据国家等级保护的有关标准和规范,结合检察业务开展的实际需求,建立一个完整的安全保障体系,有效保障检务工作的正常开展,保护数据安全,保证安全防护能力达到相关技术和管理要求。
(2) 新一代信息安全体系建设思想
新一代的信息安全体系,将基于人工智能、大数据、机器学习等技术,按照“业务驱动安全”的理念,涵盖用户行为安全、终端/移动安全、网络连接安全、业务安全的“全业务链安全”,涉及物理和环境安全、“端”安全、“网”安全、“云”安全、安全管理、跨网交换、网络信任等,以“安全可视、动态感知、闭环联动”为基本策略。
解决方案:
从物理和环境安全、设备和计算安全(“端”安全)、网络和通信安全(“网”安全)、应用和数据以及云平台安全(“云”安全)、跨网交换、网络信任等方面开展安全技术体系设计,从安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理四方面开展安全管理体系设计,从安全管理、安全感知和安全服务等方面开展管理中心及服务支撑系统设计,综合保障检察工作网安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全、移动互联安全等。