USBServer设备对应的管控平台是否需要等保三测评
1、首选对USBServer设备管控平台由企业自主定级,报备属地公安机关并确认为以下情况,必须按照对应法律要求通过等保三测评。
1>. 服务对象:地市级以上政府机关、金融、医疗、能源、交通、教育等关键行业的核心业务系统;
2>. 数据类型:涉及国家秘密、工作秘密、商业秘密、个人敏感信息(如医疗健康数据、金融交易数据);
3>. 系统功能:公共服务类系统(如互联网医院、智慧城市平台)、跨区域联网系统(如省级政务平台)、重要基础设施(如电力调度系统)。
2、未经公安机关备案,没有获得备案证书文件,测评报告无法提交公安机关审核,系统仍无法通过合规审查,未备案的系统若发生数据泄露或安全事件,企业可能因“未履行等保义务”被追责,面临罚款、业务暂停甚至刑事责任。等保三测评报告需由公安机关指定或具备等保三测评的机构出具报告才有效,信息系统等保三测评需每年复测,接受公安机关的抽查;
3、等保三测评是对企业部署的信息系统一个体系化安全测评工程:
1>. 技术要求:物理安全(机房电磁屏蔽、防火防潮防盗、访问控制、监控与报警等),网络安全(边界防护、入侵防范、恶意代码防护、安全审计、通信保密性等),主机安全(身份鉴别、访问控制、安全审计、资源控制、漏洞防护等),应用安全(用户身份认证、权限管理、数据完整性保护、抗抵赖性等),数据安全(数据备份与恢复、数据传输加密、存储加密等);
2>. 管理要求:安全管理制度(制定网络安全策略、操作规程、应急预案等),安全管理机构(设立专职安全管理部门,明确岗位职责),人员管理(背景审查、安全培训、保密协议、离职审计等),系统建设管理(安全方案设计、产品采购合规性、代码安全测试等),系统运维管理(日常监控、漏洞修复、日志留存(至少6个月)、应急演练等)。
4、对于供应商对外售卖的信息系统,供应商获取的等保三备案及测评报告,不能替代最终企业用户环境下的等保三备案及测评报告(因为最终用户的机房,安全防护设备、安全机制、安全策略等 ,以及安全管理、应急方案等和供应商备案时完全不一样,不能等同替代,需要根据最终用户实际情况,重新进行等保三备案及测评。此种情况,容易被供应商误导,也容易混淆);
5、最终用户要求的满足等保三要求,与等保三测评不是一回事。满足等保三要求,一般是企业内部安全合规要求的一部分,主要是为了让供应商提供的信息系统自身安全防护能力和相应功能是按等保三来进行设计、部署和研发。可以让供应商提供具有CCRC(中国网络安全审查技术与认证中心)资质的第三方安全测评报告来。
总上所述,USBServer设备管控平台主要是Ukey设备的信息维护(序列号,端口位置,用户授权,设备访问控制等),不属于企业核心业务系统,也非重要国计民生的基础设施,也非公共服务系统,基本不涉及个人,商业,国家秘密等。因此基本可认定无需在公安机关备案和等保三测评,若企业内部有安全合规性要求,可以让供应商提供具有CCRC(中国网络安全审查技术与认证中心)资质的第三方安全测评报告。若供应商能提供USBServer设备管控平台的等保三公安机关的备案证明文件,以及合规的等保三测评报告。有CCRC资质的第三方出具的安全测评报告,或等保三公安机关备案证明文件及合规的等保三测评报告的信息系统或平台,USBServer设备管控平台在合规性,安全性等方面要优于没有相关安全测评报告或其他非权威正规机构出具的安全测评报告。