快遞行業(yè)需要信息系統(tǒng)安全等級保護備案證明嗎？等級保護一站式解決方案服務(wù)專家告訴你答案：快遞行業(yè)不僅需要信息系統(tǒng)安全等級保護備案證明，最好還要通過等級保護三級測評。
 
一、快遞行業(yè)等級保護備案是企業(yè)所求
 
我國快遞行業(yè)正處于飛速發(fā)展的階段，截至目前，我國快遞法人企業(yè)達(dá)2萬家，其中包括7家上市公司，從業(yè)人數(shù)已超過300萬人。從某種程度上來說，我國快遞行業(yè)已常態(tài)化進入單日快遞“億件時代”。
 

 
然而，在快遞行業(yè)發(fā)展得如火如荼的同時，信息安全風(fēng)險卻成為了影響物流快遞行業(yè)健康發(fā)展的關(guān)鍵因素：
 
首先，快遞服務(wù)出現(xiàn)過用戶無法在線注銷、安卓應(yīng)用目標(biāo) SDK 版本設(shè)置過低等安全問題。其次，快遞行業(yè)存在信息泄露的嚴(yán)重問題。目前，個人信息泄露的前三大途徑分別是經(jīng)營者未經(jīng)個人同意收集個人信息，經(jīng)營者或不法分子故意泄密、出售或者非法向他人提供用戶個人信息，及網(wǎng)絡(luò)服務(wù)系統(tǒng)存在漏洞導(dǎo)致個人信息泄露。最后，針對物流快遞行業(yè)的攻擊事件越發(fā)頻繁，2018 年下半年網(wǎng)警部門數(shù)據(jù)顯示，針對物流快遞行業(yè)的網(wǎng)絡(luò)攻擊包括但不限于惡意掃描、網(wǎng)絡(luò)攻擊、僵尸木馬蠕蟲和拒絕服務(wù)攻擊等。
 
所以，就算是為了保護快遞行業(yè)信息系統(tǒng)不被攻擊，用戶信息不被泄露，快遞行業(yè)也必須要做等級保護，取得等保備案證明。
 
二、快遞行業(yè)等級保護備案是主管單位要求
 
2020年1月1日起，由交通運輸部、國家稅務(wù)總局聯(lián)合發(fā)布的《網(wǎng)絡(luò)平臺道路貨物運輸經(jīng)營管理暫行辦法》已正式施行，自此，等級保護成為物流快遞行業(yè)門檻。
 
以《網(wǎng)絡(luò)平臺道路貨物運輸經(jīng)營管理實施細(xì)則（暫行）》為例，根據(jù)第六條、第七條、第八條及第九條的規(guī)定，“取得三級及以上信息系統(tǒng)安全等級保護備案證明”，才能取得省運輸事業(yè)發(fā)展中心的線上服務(wù)能力的認(rèn)定，而只有取得線上服務(wù)能力的認(rèn)定，才能申領(lǐng)《道路運輸經(jīng)營許可證》。因此，等級保護已然成為網(wǎng)絡(luò)貨運經(jīng)營者的一個必要準(zhǔn)入條件。擬從事網(wǎng)絡(luò)貨運的經(jīng)營者，宜提前布局，做好充分準(zhǔn)備。
 
換句話說，如果沒有等保備案證明，快遞行業(yè)系統(tǒng)都無法正常上線運行。
 
《網(wǎng)絡(luò)平臺道路貨物運輸經(jīng)營管理暫行辦法》的出臺對物流行業(yè)來說，意義重大，用物流沙龍的話來說，物流企業(yè)終于可以挺直腰桿面對稅務(wù)局，財稅合規(guī)不怕被秋后算賬；貨運司機可以正常繳納個人所得稅，不怕各種查，也不再害怕登上個人征信黑名單。
 
三、從《網(wǎng)絡(luò)安全法》的角度，快遞行業(yè)需要取得等保備案證明
 
《網(wǎng)絡(luò)安全法》 明確規(guī)定：信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。
 
同時，根據(jù)等保定級指南，定級對象具有以下三大基本特征：①具有確定的主要安全責(zé)任主體；②承載相對獨立的業(yè)務(wù)應(yīng)用；③包含相互關(guān)聯(lián)的多個資源。
 
只要快遞行業(yè)的系統(tǒng)具備以上三個特征，那么就必須進行備案，無論系統(tǒng)多小。
 
四、快遞行業(yè)最好取得等保三級備案證明并通過測評
 
就實際情況而言，其實快遞行業(yè)可以選擇做二級等保，也可以選擇做三級等保。但是，出于正確享受網(wǎng)絡(luò)貨運經(jīng)營者福利，可以正常繳稅的考慮，快遞行業(yè)最好取得等保三級備案證明并通過測評。因為只有做了三級等保，快遞行業(yè)才能取得網(wǎng)絡(luò)貨運經(jīng)營許可證。換句話說，做了三級等保之后，快遞行業(yè)的發(fā)展會更合規(guī)、更放心。
 
五、快遞行業(yè)如何才能取得備案證明和通過三級測評？
 
快遞行業(yè)可以參考《信息安全等級保護定級指南》和《郵政業(yè)信息系統(tǒng)安全等級保護實施指南》來做等保。實際工作中，快遞行業(yè)可以按照提供的等保備案流程來取得等保備案證明：
 

 
如果快遞行業(yè)選擇做三級等保，那么需要準(zhǔn)備的備案材料主要是《信息系統(tǒng)安全等級保護備案表》，以及：①系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；②系統(tǒng)安全組織機構(gòu)和管理制度；③系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；④系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；⑤測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；⑥信息系統(tǒng)安全保護等級專家評審意見；⑦主管單位核準(zhǔn)信息系統(tǒng)安全保護等級的意見。
 
只要按照以上流程和材料來準(zhǔn)備，快遞行業(yè)基本都能快速合規(guī)地通過等級保護備案證明。
 
二級及以上的信息系統(tǒng)都必須做等級測評，快遞行業(yè)也不例外。因此，取得等保備案證明之后，快遞行業(yè)就可以著手準(zhǔn)備等級保護測評工作。測評主要是測評機構(gòu)來做，至于測評機構(gòu)選哪家，快遞行業(yè)可以參照國家網(wǎng)絡(luò)安全等級保護工作協(xié)調(diào)小組辦公室推薦測評機構(gòu)名單。
 
快遞行業(yè)需要重點關(guān)注的是信息系統(tǒng)的整改問題。一般信息系統(tǒng)都會或多或少的存在一些安全問題，為了使得信息系統(tǒng)的安全防護狀況符合等保要求，快遞行業(yè)必須進行整改。整改主要是整改三方面的問題：安全管理制度不完善的問題，漏洞補丁類、修復(fù)類問題，設(shè)備缺失不足的問題。物流企業(yè)平臺系統(tǒng)具體可能會存在哪些問題以及如何整改呢？物流企業(yè)可以參考等保解決方案提供商曾經(jīng)做過的物流企業(yè)等保整改案例。在的協(xié)助下，該物流企業(yè)平臺系統(tǒng)的測評得分是91.2，完全可以算得上是高分通過等級測評。如下是該物流平臺系統(tǒng)存在的部分問題及的整改建議：
 
安全通信網(wǎng)絡(luò)：1）未基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證。
整改建議：1）建議基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。
 
安全區(qū)域邊界：1）被測系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)部署在阿里云上，采用了高級版的阿里云安全中心，未能實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。2）未基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證。
整改建議：1）建議采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；2）建議基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。
 
安全計算環(huán)境（網(wǎng)絡(luò)）：1）阿里云控制臺：未對重要主體和客體設(shè)置安全標(biāo)記，未控制主體對有安全標(biāo)記信息資源的訪問。2）阿里云控制臺：未限定網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制。3）阿里云控制臺：未基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證。
整改建議：1）阿里云控制臺：建議對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。2）阿里云控制臺：建議設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制。3）阿里云控制臺：建議基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。