介绍:哪些部门负责三级等保认证?

时间:2021-07-26 15:49 来源:未知 作者:好伙伴-物流软件 点击:

哪些部门负责三级等保认证?等保三级,又叫做国家信息安全等级保护三级认证,是中国最权威的的信息产品安全等级资格认证;大家知道吗?想要开展网络货运的业务,就必须要这个三级等保证书;至于三级等保是哪个部门负责、以及进行认证的关键点有什么?就让小编为大家一一解答吧。
介绍:哪些部门负责三级等保认证?

哪些部门负责三级等保认证

三级等保,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。其中按照评定等级,可以分为一至五级测评。
三级等保是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格。

三级等保认证的关键点

三级等保认证过程中,其中最严的地方是在技术层面,主要体现在系统安全管理、和恶意代码防范上,简单来说,就是每当有黑客对平台进行攻击时,平台具备一定的防范能力。除此之外,还有以下一些关键点也是很值得重视的。

1.身份验证

身份验证需保证所有网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。

2.访问控制

当应用系统访问控制功能存在缺失,无法按照设计策略控制用户对系统功能、数据的访问,以及系统访问策略存在缺陷,导致可越权访问系统功能模块或查看其它用户数据,则系统被判定为高风险。

3.安全审计

建议在网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。通常使用第三方日志审计系统,除进行常规的日志记录收集外,对日志进行关联分析,筛查可能存在的安全风险。

4.入侵防范

应遵循最小安装原则,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口。

5.恶意防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并及时有效阻断。如果是相对封闭的网络,如工业控制系统,需安装白名单类软件进行恶意代码防范。

6.数据完整性

应采用校验技术或密码技术保证重要数据在传输过程和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

7.数据保密性

应采用密码技术保证重要数据在传输过程和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。可通过VPN建立加密隧道,保证数据传输的保密性。



相关推荐