188-8426-9872
028-8510-6199
󰄬
首 页 >> 服务项目 >> 信息安全 >> 网络安全等级保护


网络安全等级保护测评


网络安全等级保护制度的发展历程
     网络安全等级保护制度是2003年公安部开始探索和实践计算机保护的一项工作,叫信息安全等级保护工作。2007年,在实践基础上公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室等四部委发布了《信息安全等级保护管理办法》,将信息安全等级保护工作写入法规中。同年,浙江省发布了《浙江省信息安全等级保护管理办法》,细化信息安全等级保护工作要求。2017年随着《网络安全法》的实施,信息安全等级保护制度改为网络安全等级保护制度。2018年6月,公安部向社会发布了《网络安全等级保护条例(征求意见稿)》公开征求意见。网络安全等级保护的法律法规体系正在逐步完善。
网络安全等级保护的工作内容
    很多人对网络安全等级保护的工作存在误解,以为网络安全等级保护的工作就是等保备案和等保测评。这种认识完全本末倒置,网络安全等级保护的工作是根据信息系统遭到破坏后带来对客体的侵害程度分成五个保护等级,每个保护等级落实相应的安全工作要求,等保备案和等保测评仅仅是监督这项工作的落实的法定程序。网络安全等级保护制度要求信息系统责任主体落实信息系统的安全策略和管理制度、安全管理机构和人员、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全运维管理等系统安全各个维度的工作要求。等保测评并不是落实这些维度的安全措施,而是一个医生给病人把脉诊断的过程,同时给出治疗建议。至于病人吃什么药,做什么改进,是信息系统责任主体权衡多方因素后进行整改和安全加固。
网络安全等级保护制度的适应性
    网络安全等级保护制度从2007年实施到现在,已经走过十一年,它具有强大的适应性,依然能够跟上日新月异的技术发展。首先,它的等保定级是以被破坏后对国家安全、社会稳定和公共利益侵害程度为导向,无论以后出现多少新技术、新应用都不影响等保定级工作。其次,是等保测评的评分机制,达到60分就能基本符合,并不要求信息系统所有子项目都达标,毕竟信息系统在现实应用中各种环境和需求各不相同,受各种因素干扰,避免不计成本的安全投入。再次,测评的技术标准可以根据时代发展和需求进行修改,等保2.0的测评体系在扩展要求部分增加云机关安全、移动互联安全、物联网安全、工业控制系统安全等新技术新应用的需求。
网络安全等级保护制度的现实意义
    网络安全等级保护制度的实施为信息系统安全工作开辟了一条可落地可操作的道路。从国家层面看,对所有信息系统都要落实安全措施,但没有绝对安全,不计成本的投入,追求绝对安全是错误的。网络安全等级保护制度恰恰体系化的指导各信息系统根据各自责任落实相应技术措施,避免安全工作的不作为、或乱作为。从信息系统责任主体单位看,为落实信息系统安全工作提供方向和依据,一般单位的信息系统安全工作分两步,先是落实合法合规的安全工作要求,再落实业务特殊的安全需求。网络安全等级保护制度就是明确法律法规要求,让安全工作有法可依。从公民个人层面来看,网络安全等级保护制度落实是个人安居乐业的必要保障,保障那些生活深度依赖的信息系统服务不断,保障水电交通等基础设施平稳运行,保障个人信息、资金等安全保管。
网络安全等级保护制度的几个认识误区
    最后来谈谈对网络安全等级保护制度的几个认识误区。一是信息系统物理隔离就不用落实等保工作。这是最常见的误区,所有信息系统都要落实,即使物理隔离的信息系统也要落实等保工作。一般物理隔离的信息系统,都是因为重要才隔离,定级会比较高,反而是等保工作的重点。二是企业信息系统瘫痪只影响企业利益,等保定级可以比较低。等保定级一般分系统服务安全和业务信息安全两个维度,企业大多数系统服务受破坏只影响企业业务,定级要求不高。但是涉及公民个人信息的企业,业务信息安全就相对较高,特别是近几年来数据价值被越来越重视,各企业收集数据的行为越来越多,意味着企业手中数据价值越来越大,带来的安全责任当然也是越来越大,一些企业等保定级甚至可以达到4级。三是信息系统上云就安全了。很多单位认为网站和信息系统上云后就安全了,等保不用做了。信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。
信息系统安全等级保护的定级准则和等级划分 
定级准则:
    坚持自主定级、自主保护的原则。
    应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度等因素确定。
等级划分
    第一级(自主保护级)
    信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
    第二级(指导保护级)
    信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
    第三级(监督保护级)
    信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 
    第四级(强制保护级)
    信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
    第五级(专控保护级)
    信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分

信息安全等级保护备案流程
    根据《信息安全等级保护管理办法》第十五条规定,已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
    具体备案流程如下:
确定对象:各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级,起草《信息系统安全等级保护定级报告》。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行备案依据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法(公安部第33号令)》、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)。
    备案对象
1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
3、市(地)级以上党政机关的重要网站和办公信息系统。
4、涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
    备案材料准备
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
    专家评审与审批
    初步确定信息系统安全保护等级和准备好备案材料后,三级或以上信息系统需要聘请专家进行评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
    备案材料提交及审核
    定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。

附件:

 网络安全等级保护测评机构管理办法.pdf

网络安全登记保护测评机构管理办法.zip

 


首信四方
加入收藏 返回置顶

Copyright © 2009-2011,www.sc-sxsf.com,All rights reserved     版权所有 © 四川首信四方企业服务有限公司
未经许可 严禁复制 蜀ICP备19027037号  

󰇯拨打电话 󰄲发送短信