现在给一个客户做业务系统,系统着急上线,客户要求系统上线之前必须的先做信息安全等级保护测评,否则坚决不让上线。可是如果要测评的话,最少要三个月才行。现在我就有点纳闷了,想上线就必须先测评,那如果系统不上线,怎么测评呢?感觉成了转圈圈了。。。有没有懂的人给解释一下。
1
storyxc 2022-04-13 10:50:05 +08:00
我们公司一个客户要求过等保二级,项目去年 11 月上线的,客户内网部署,上个月我们才找测评的机构,这周一测评的结果已经出来了。
|
2
ixiaofeng OP @storyxc #1 我们的服务必须的面向公网,而且十分紧迫,而且本地的测评机构测评效率和排队情况看,三个月是乐观的,头疼。。。
|
3
cpstar 2022-04-13 11:02:35 +08:00 10
首先,你对等保测评工作不熟悉,等保测评中技术测评只是一小部分
其次,运行≠上线,通过封闭外部访问的途径,一样可以投入运行,但并没有上线 最后,不做完等保不能上线,这是硬规定,时间紧迫是另外一个管理问题,并不是技术问题,是需要甲方自己完成的工作——等保的责方是甲方 |
4
LaGeNanRen 2022-04-13 11:05:37 +08:00
@cpstar 能分清楚技术问题、项目问题和管理问题的明白人不多啦,给老哥个赞:)我见过太多搞技术的钻牛角尖了
|
6
liuliangyz 2022-04-13 11:06:50 +08:00
@ixiaofeng 看你测评公司和当地网安的关系,如果和你说要排队,你就换一家就是了,当然,小地方的话,基本就一家,没有的换。
|
7
ixiaofeng OP @liuliangyz #6 看来也是过来人
|
8
unclemcz 2022-04-13 11:13:14 +08:00
先试运行(还未验收前的运行都可以算是试运行,不算正式上线,虽然实际上和上线没区别),然后试运行过程中做等保测评,拿到测评报告后报客户验收,然后正式上线。一般是这么操作的,可以和客户沟通一下。
|
10
zinging 2022-04-13 11:31:04 +08:00
系统不复杂的话,现场的技术,一周就能搞完,然后就是写报告,和在网安排队走流程的时间,和测评机构商量,1 个月差不多就能出来。
|
11
kuner0614 2022-04-13 11:47:58 +08:00
换个思路,让他们把业务系统布在可信云上做个异地双活,有预算的话再上两地三中心。数据库安全评测就直接可以过,整个工期至少可以缩短一半。顺便做个广告,BC/DR 我司湖北最牛逼,需要方案可以给你赶 MTU5Mjc0NDA4NzE=
( 9:00-17:30 ) |
12
mikywei 2022-04-13 13:47:42 +08:00
我之前跟等级保护测评机构的人聊过,谈下我的理解。
首先你的客户已经要求做等级保护测评了,这个没得商量,具体几级要测评机构帮忙找专家评估(一般面向互联网的基本都得三级,等级越高要做的东西越多); 其次其实你的问题找测评机构就行了,网络上一群服务商 js 说这说那儿,都是从自己的角度出发(不是想卖产品就是想卖服务),都没有测评机构专业和客观。 关于时间上的问题:当地网安部门对待大家都是一样的,这个不可能优化,唯一能优化的就是这个测评机构的时间安排,这个就需要你认识的测评机构销售去安排了,让他签合同或卖个人情,一般 2 个月不是问题,如果整改得快 1 个月也不是不可能。注意这里签合同的可以限制测评机构的测评时间,比如第一次测评签合同后几天来,几天内完成,整改后几天内来第二次测评。(当然整改这个时间就看你们自己了) 关于系统未上线的问题:可以先部署在内网不发布在公网先做测评的,这都是基本操作,一问测评机构就知道了; 关于测评机构的选择: 1 、当地测评中心(事业单位)基本只给政府单位测评,其它单位和私企没戏,人家大爷得很。 2 、当地具有测评资质的私有企业(优先选择,当地人多,服务速度,专业性也会比外地的好,但有些本地机构可能接单很多排班排不过来,可以按我上面说的签合同要求他们,虽然他们大概率选择讨价还价) 3 、外地具有测评资质的私有企业(首先差旅是个问题,其次有些地方需要测评机构先在网警那儿备案过,所以要核实外地机构是不是在你们当地做过项目;但这种外地机构为了扩张你们的要求基本都会应下来,至于能不能完成就不得而知了) 等保测评这东西很复杂的,测评机构的基层也不见得能完全吃透,还要回去各种请示中高层和查资料,所以趁早找测评机构去吧! |
13
Sor 2022-04-13 14:02:52 +08:00
三个月也太久了,等保测评我们可以做
|
15
libook 2022-04-13 16:23:22 +08:00
可以部署测试环境,然后测评的时候驻场或连 VPN 测评。
等保测评内容涵盖开发和运营的单位,客户运营的话其实很多关于安全管理方面的测评都是测你的客户;网站技术部分扫一扫漏洞,密码策略之类的符合要求就行。当然开发方还得提供一些开发管理制度和设计文档。 客户着急上线,客户要求过等保,其实是客户自己赶自己。如果客户在管理制度方面不完善,那得让客户自己去完善,或者让客户自己找咨询公司去完善,你们记住不要替客户去做就行,这应该不属于你们的合同范围。 |
16
fffang 2022-04-13 16:27:04 +08:00
等保到底是啥东西?有段时间在公司经常听别人说
|
17
defunct9 2022-04-13 16:30:04 +08:00
过个等保 10 万吧
|
18
yanest 2022-04-13 17:50:41 +08:00
需要等那么久吗,如果放我们机房,一个月内拿证了,费用的话,安全服务加测评费都不到十万。
|
19
manyeechen 2022-04-14 17:29:20 +08:00
过的速度主要还是跟安全策略到底做的怎样有关系,不然整改就会耗费很多时间,当然还有系统的大小,服务器数量也有关系
|
20
wolfmei 2022-04-18 11:06:40 +08:00
三级等保做过三年了,只要你的业务系统符合等保的要求就可以了,至于能不能过等保,并不是你的业务系统能说了算,因为这个等保测评还有一部分跟你业务系统没关系。
|
21
maichaide 2022-05-22 19:46:24 +08:00
等保、密保、关保、分保都有专业机构在做,有经验的和监管机构关系密切的更容易过
|