一、申请条件
等保三级认证主要适用于非银行机构的重要信息系统,如互联网医院平台、P2P金融平台、云服务平台等。申请等保三级认证需满足以下条件:
- 信息系统需确定为第三级信息系统,定级过程应符合《网络安全等级保护定级指南》要求。
- 已运营的第二级以上信息系统,应在安全保护等级确定后30日内到所在地设区的市级以上公安机关办理备案手续。
二、申请流程
1. 系统定级
- 确定定级对象:根据业务类型和重要性确定定级对象,通常以业务类别为依据单独确定。
- 等级确定:依据《网络安全等级保护定级指南》,确定信息系统的安全保护等级。三级系统定级结论需进行专家评审。
2. 系统备案
-
准备备案材料:需准备以下材料:
- 营业执照复印件。
- 法人身份证复印件。
- 被授权人身份证复印件及办理备案工作的授权委托书。
- 备案单位办公地证明。
- 备案单位服务器托管协议。
- 备案系统应急联系人登记表。
-
提交备案申请:到所在地设区的市级以上公安机关办理备案手续,也可以选择通过等保咨询公司代办。
-
备案审核:公安机关对备案材料进行完整性审核和定级准确审核,审核通过后发放备案证明。
3. 建设整改
- 依据等级保护标准进行安全建设整改,可寻求网络安全公司协助。整改内容包括物理安全、网络安全、主机安全、应用安全、数据安全等多个方面。
4. 等级测评
- 选择测评机构:选择具备等保测评资质的第三方测评机构,如通过公安部第三研究所认证的机构。
- 签订合同:与测评机构签订测评服务合同,明确双方的权利和义务。
- 现场测评:测评机构依据相关标准和技术要求,对信息系统进行现场检测和评估。
- 出具报告:测评完成后,测评机构出具等级测评报告,指出存在的问题和改进建议。
5. 专家评审
- 提交材料:将等级测评报告及相关材料提交给专家评审委员会。
- 评审会议:专家评审委员会召开会议,对测评结果进行审核,确认是否达到规定的安全保护等级要求。
6. 整改复查
- 整改落实:对专家评审中提出的问题,网络运营者需要进行整改,并将整改情况记录在案。
- 复查确认:测评机构或专家委员会对整改情况进行复查,确认是否满足安全要求。
7. 审批发证
- 提交申请:整改通过后,向公安机关提交审批申请。
- 审批发证:公安机关审核通过后,颁发等级保护证书,有效期一般为两年。
三、注意事项
- 选择合适的测评机构:确保测评机构具有等保测评资质。
- 满足技术要求:确保物理安全、网络安全、主机安全、应用安全、数据安全等五个方面的要求都得到满足。
- 专家评审:三级以上系统定级结论需进行专家评审。
- 持续监督:获得证书后,需持续进行系统的日常运维和安全监控,定期进行安全检查,证书到期前需重新进行等级测评和审批,以更新证书。
