188-8426-9872(梁老師)
185-0851-3228(曾老師)
󰄬
首 頁 >> 服務項目 >> 信息安全 >> 網絡安全等級保護

網絡安全等級保護測評


網絡安全等級保護製度的發展曆程

網絡安全等級保護製度是2003年公安部開始探索和實踐計算機保護的一項工作,叫信息安全等級保護工作。2007年,在實踐基礎上公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室等四部委發布了《信息安全等級保護管理辦法》,將信息安全等級保護工作寫入法規中。同年,浙江省發布了《浙江省信息安全等級保護管理辦法》,細化信息安全等級保護工作要求。2017年隨著《網絡安全法》的實施,信息安全等級保護製度改為網絡安全等級保護製度。2018年6月,公安部向社會發布了《網絡安全等級保護條例(征求意見稿)》公開征求意見。網絡安全等級保護的法律法規體係正在逐步完善。

網絡安全等級保護的工作內容

很多人對網絡安全等級保護的工作存在誤解,以為網絡安全等級保護的工作就是等保備案和等保測評。這種認識完全本末倒置,網絡安全等級保護的工作是根據信息係統遭到破壞後帶來對客體的侵害程度分成五個保護等級,每個保護等級落實相應的安全工作要求,等保備案和等保測評僅僅是監督這項工作的落實的法定程序。網絡安全等級保護製度要求信息係統責任主體落實信息係統的安全策略和管理製度、安全管理機構和人員、物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全建設管理、安全運維管理等係統安全各個維度的工作要求。等保測評並不是落實這些維度的安全措施,而是一個醫生給病人把脈診斷的過程,同時給出治療建議。至於病人吃什麽藥,做什麽改進,是信息係統責任主體權衡多方因素後進行整改和安全加固。

網絡安全等級保護製度的適應性

網絡安全等級保護製度從2007年實施到現在,已經走過十一年,它具有強大的適應性,依然能夠跟上日新月異的技術發展。首先,它的等保定級是以被破壞後對國家安全、社會穩定和公共利益侵害程度為導向,無論以後出現多少新技術、新應用都不影響等保定級工作。其次,是等保測評的評分機製,達到60分就能基本符合,並不要求信息係統所有子項目都達標,畢竟信息係統在現實應用中各種環境和需求各不相同,受各種因素幹擾,避免不計成本的安全投入。再次,測評的技術標準可以根據時代發展和需求進行修改,等保2.0的測評體係在擴展要求部分增加雲機關安全、移動互聯安全、物聯網安全、工業控製係統安全等新技術新應用的需求。

網絡安全等級保護製度的現實意義

網絡安全等級保護製度的實施為信息係統安全工作開辟了一條可落地可操作的道路。從國家層麵看,對所有信息係統都要落實安全措施,但沒有絕對安全,不計成本的投入,追求絕對安全是錯誤的。網絡安全等級保護製度恰恰體係化的指導各信息係統根據各自責任落實相應技術措施,避免安全工作的不作為、或亂作為。從信息係統責任主體單位看,為落實信息係統安全工作提供方向和依據,一般單位的信息係統安全工作分兩步,先是落實合法合規的安全工作要求,再落實業務特殊的安全需求。網絡安全等級保護製度就是明確法律法規要求,讓安全工作有法可依。從公民個人層麵來看,網絡安全等級保護製度落實是個人安居樂業的必要保障,保障那些生活深度依賴的信息係統服務不斷,保障水電交通等基礎設施平穩運行,保障個人信息、資金等安全保管。

網絡安全等級保護製度的幾個認識誤區

最後來談談對網絡安全等級保護製度的幾個認識誤區。一是信息係統物理隔離就不用落實等保工作。這是最常見的誤區,所有信息係統都要落實,即使物理隔離的信息係統也要落實等保工作。一般物理隔離的信息係統,都是因為重要才隔離,定級會比較高,反而是等保工作的重點。二是企業信息係統癱瘓隻影響企業利益,等保定級可以比較低。等保定級一般分係統服務安全和業務信息安全兩個維度,企業大多數係統服務受破壞隻影響企業業務,定級要求不高。但是涉及公民個人信息的企業,業務信息安全就相對較高,特別是近幾年來數據價值被越來越重視,各企業收集數據的行為越來越多,意味著企業手中數據價值越來越大,帶來的安全責任當然也是越來越大,一些企業等保定級甚至可以達到4級。三是信息係統上雲就安全了。很多單位認為網站和信息係統上雲後就安全了,等保不用做了。信息係統是否上雲,安全責任主體都不會變。各類雲平台隻提供平台和簡單的安全措施,安全責任主體單位還是要按等保要求落實相應的安全工作,隻是物理和環境安全等部分安全工作由雲平台承擔。

信息係統安全等級保護的定級準則和等級劃分

定級準則:

堅持自主定級、自主保護的原則。

應當根據信息係統在國家安全、經濟建設、社會生活中的重要程度,信息係統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益(受侵害客體)的危害程度等因素確定。

等級劃分

第一級(自主保護級)

信息係統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級(指導保護級)

信息係統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級(監督保護級)

信息係統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級(強製保護級)

信息係統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級(專控保護級)

信息係統受到破壞後,會對國家安全造成特別嚴重損害。信息係統安全等級保護的定級準則和等級劃分

信息安全等級保護備案流程

根據《信息安全等級保護管理辦法》第十五條規定,已運營(運行)或新建的第二級以上信息係統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息係統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息係統在各地運行、應用的分支係統,應當向當地設區的市級以上公安機關備案。

具體備案流程如下:

確定對象:各行業主管部門、運營使用單位按照《信息安全等級保護管理辦法》和《信息係統安全等級保護定級指南》的要求,初步確定定級對象的安全保護等級,起草《信息係統安全等級保護定級報告》。跨省或者全國統一聯網運行的信息係統可以由主管部門統一確定安全保護等級。涉密信息係統的等級確定按照國家保密局的有關規定和標準執行備案依據《中華人民共和國計算機信息係統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法(公安部第33號令)》、公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關於信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)。

備案對象

1、電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息係統。

2、鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息係統。

3、市(地)級以上黨政機關的重要網站和辦公信息係統。

4、涉及國家秘密的信息係統(以下簡稱“涉密信息係統”)。

備案材料準備

辦理信息係統安全保護等級備案手續時,應當填寫《信息係統安全等級保護備案表》,第三級以上信息係統應當同時提供以下材料:

(一)係統拓撲結構及說明;

(二)係統安全組織機構和管理製度;

(三)係統安全保護設施設計實施方案或者改建實施方案;

(四)係統使用的信息安全產品清單及其認證、銷售許可證明;

(五)測評後符合係統安全保護等級的技術檢測評估報告;

(六)信息係統安全保護等級專家評審意見;

(七)主管部門審核批準信息係統安全保護等級的意見。

專家評審與審批

初步確定信息係統安全保護等級和準備好備案材料後,三級或以上信息係統需要聘請專家進行評審。運營使用單位或主管部門參照評審意見最後確定信息係統安全保護等級,形成定級報告。當專家評審意見與信息係統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息係統安全保護等級。

信息係統運營使用單位有上級行業主管部門的,所確定的信息係統安全保護等級應當報上級行業主管部門審批同意。

備案材料提交及審核

定級備案單位將《信息係統安全等級保護備案表》、《信息係統安全等級保護定級報告》及上述配套材料提交屬地公安機關網安部門審核。對符合等級保護要求的,在收到備案材料之日起的10個工作日內頒發信息係統安全等級保護備案證明;發現不符合本辦法及有關標準的,在收到備案材料之日起的10個工作日內通知備案單位予以糾正。

附件:

網絡安全等級保護測評機構管理辦法

網絡安全登記保護測評機構管理辦法


草莓视频
加入收藏 返回置頂

Copyright © 2009-2011,www.zsgod.com,All rights reserved     版權所有 © 四川草莓视频企業服務有限公司
未經許可 嚴禁複製 蜀ICP備19027037號  

󰇯撥打電話 󰄲發送短信