你好,網路安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網路安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構,依據《信息安全技術網路安全等級保護基本要求》等技術標准,定期對信息系統開展測評工作。
《網路安全法》 明確規定信息系統運營、使用單位應當按照網路安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。下面是網路安全等級保護等級劃分及適用行業說明:
第一級(自主保護級):一般適用於小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統。信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用於縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網路系統等。 信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用於國家重要領域、重要部門中的極端重要系統。信息系統受到破壞後,會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級准則和等級劃分。
最後,二級及以上的信息系統都需要進行等級測評,且等級測評並不是做一次就可以,二級系統每兩年至少進行一次測評,三級系統每年至少進行一次測評,四級系統每半年至少進行一次測評。
測評周期
2. 等保指的是什麼你
等保是一個全方位系統安全性標准,不僅僅是程序安全,包括:物理安全、應用安全、通信安全、邊界安全、環境安全、管理安全等方面。
1、安全標准:信息安全等級保護(簡稱等保)是目前檢驗一個系統安全性的重要標准,是對系統是否滿足相應安全保護的評估方法。
2、法律要求:《網路安全法》和《信息安全等級保護管理辦法》明確規定網路運營者應當履行安全保護義務,如果拒不履行,將會受到相應處罰。
3、自我檢查:開展等保可對系統進行一次全面檢測,全面發現系統內部的安全隱患與不足之處。
【等保2.0】
以《中華人民共和國網路安全法》為法律依據,以2019年5月發布的《GB/T22239-2019信息安全技術網路安全等級保護基本要求》為指導標準的網路安全等級保護辦法,業內簡稱等保2.0。
【等保1.0】
以1994年國務院頒布的147號令《計算機信息系統安全保護條例》為指導標准,以2008年發布的《GB/T22239-2008信息安全技術信息系統安全等級保護基本要求》為指導的網路安全等級保護辦法,業內簡稱等保,即目前的等保1.0。
3. 等級保護測評是什麼
《信息安全等級保護管理辦法》第七條規定:信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
等級保護測評服務包括以下內容:
1、等級保護測評單位根據等保測評技術標准,對測評對象開展等級保護測評,一般來說測評對象是信息系統。但是隨著等保2.0的發布,測評范圍變得更廣。因此測評的對象也有可能是網站、雲伺服器、APP等等。
2、開展等級保護測評後,測評機構需要開具等級保護測評報告,測評的結果有兩種:符合和不符合。
3、對於不符合標準的測評對象(一般是指信息系統)需要依據整改清單,進行相關的系統升級,完善網路安全相關的制度和人員管理方法等。技術方面不符合要求的,可以自我整改,或是尋找第三方服務商提供技術支持。
4. 等級保護測評到底是做什麼的
等級保護測評一般是指信息安全等級保護測評工作,即對信息和信息載體按照重要性等級分級別進行保護的一種測評工作。
《信息安全等級保護管理辦法》第七條規定:
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
(4)網路安全等保測評是啥擴展閱讀:
信息安全基本原則:
自主保護原則:信息系統運營、使用單位及其主管部門按照國家相關法規和標准,自主確定信息系統的安全保護等級,自行組織實施安全保護。
重點保護原則:根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
同步建設原則:信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。
動態調整原則:要跟蹤信息系統的變化情況,調整安全保護措施。由於信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。
參考資料來源:
網路——信息安全等級保護
中國網——信息安全等級保護管理辦法
5. 等保測評標准
法律分析:「等保」,即信息安全等級保護,是我國網路安全領域的基本國策、基本制度。早在2017年8月,公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《信息安全技術 網路安全等級保護基本要求》一個標准。(GB/T 22239—2019代替 GB/T 22239-2008)該標准於2019年5月10日發布,於2019年12月1日開始實施。
法律依據:《中華人民共和國標准化法》
第十條 對保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要的技術要求,應當制定強制性國家標准。 國務院有關行政主管部門依據職責負責強制性國家標準的項目提出、組織起草、徵求意見和技術審查。國務院標准化行政主管部門負責強制性國家標準的立項、編號和對外通報。國務院標准化行政主管部門應當對擬制定的強制性國家標準是否符合前款規定進行立項審查,對符合前款規定的予以立項。 省、自治區、直轄市人民政府標准化行政主管部門可以向國務院標准化行政主管部門提出強制性國家標準的立項建議,由國務院標准化行政主管部門會同國務院有關行政主管部門決定。社會團體、企業事業組織以及公民可以向國務院標准化行政主管部門提出強制性國家標準的立項建議,國務院標准化行政主管部門認為需要立項的,會同國務院有關行政主管部門決定。 強制性國家標准由國務院批准發布或者授權批准發布。 法律、行政法規和國務院決定對強制性標準的制定另有規定的,從其規定。
第十一條 對滿足基礎通用、與強制性國家標准配套、對各有關行業起引領作用等需要的技術要求,可以制定推薦性國家標准。 推薦性國家標准由國務院標准化行政主管部門制定。
6. 等保測評怎麼做
等保的步驟包含五個方面:等保定級、等保備案、等級測評、系統安全建設、監督檢查。
等保定級
信息系統安全等級,由系統運用、使用單位依據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級,有主管部門的,應當經主管部門審批。對於擬確定為四級及以上信息系統,還應經專家評審會評審。新建信息系統在設計、規劃階段確定安全保護等級。
總共分為五個等級:第一級(自主保護級)、第二級(指導保護級)、第三級(監督保護級)、第四級(強制保護級)、第五級(專控保護級)。
等保備案
運營、使用單位在確定等級後到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營後30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的在10個工作日內頒發等級保護備案證明。對於定級不準的,應當重新定級、重新備案。對於重新等級的,公安機關一般會建議備案單位組織專家進行重新定級評審,並報上級主管部門審批。
等級測評
運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評,四級及以上信息系統至少每半年進行一次等級測評,五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告,並出具測評結果通知書,明示信息系統安全等級及測評結果。
建設整改
運營使用單位按照管理規范和技術標准,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定並落實安全管理制度。系統建設整改,對於未達到安全等級保護要求的,運營、使用單位應當進行整改,整改完成應當將整改報告報公安機關備案。
監督檢查
公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
受理備案地公安機關會對三級、四級信息系統進行檢查,檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。新系統開發建設之後,要及時開展等保測評或相關安全測試,避免系統帶病上線,消除安全隱患。
7. 等級保護測評是什麼
等級保護測評是測評機構依據國家信息安全等級保護制度規定,受有關單位委託,按照有關管理規范和技術標准,運用科學的手段和方法。
對處理特定應用的信息系統,採用安全技術測評和安全管理測評方式,對保護狀況進行檢測評估,判定受測系統的技術和管理級別與所定安全等級要求的符合程度,基於符合程度給出是否滿足所定安全等級的結論,針對安全不符合項提出安全整改建議。
實施的基本流程:
在安全運行與維護階段,信息系統因需求變化等原因導致局部調整,而系統的安全保護等級並未改變,應從安全運行與維護階段進入安全設計與實施階段,重新設計、調整和實施安全措施,確保滿足等級保護的要求。
但信息系統發生重大變更導致系統安全保護等級變化時,應從安全運行與維護階段進入信息系統定級階段,重新開始一輪信息安全等級保護的實施過程。