‘壹’ 等级保护定级标准是什么
2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。需要对信息系统进行定级的企业可以以此为定级依据。
根据规定,信息系统一共分五个等级,由一到五级别逐渐升高。
信息系统的五个等级
等级保护对象的级别由两个定级要素决定:①受侵害的客体。分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全;②对客体的侵害程度。分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
等级保护对象定级工作流程一般为:确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核,最终确定其安全等级。初步确定为第一级的等级保护对象,可不进行专家评审、主管部门批准和公安机关审核。
‘贰’ 等级保护测评流程
网络安全等级保护备案办理流程:
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
网络安全等级保护备案分五个级别:
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③ 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
证书案例
‘叁’ 网络安全等保测评是什么有哪些行业机构需要做
网络安全等保测评是什么呢?
网络安全等级保护是指对网络(含信息系统、数据)实施的分等级保护、分等级监管。
目前根据网络、信息系统、网络上的数据和信息的重要性划分为了五个安全保护等级。
从一级到五级,逐级增强。不同级别的网络、信息系统、网络上的数据应具备不同的安全保护措施。
那么有哪些行业机构是需要做等保测评的呢?
一、按目前等保监管来看,金融行业相对来说,是比较严格的。如果经营机构不做等保是无法经营的。
(像金融监管机构、证券、保险类公司以及各大银行,包括互联网金融行业)
二、教育行业,有人会问了,教育行业也需要吗?是的,教育也是需要的。
(教育不仅限于互联网+教育行业公司,科研、尖端也是需要的,包括学校网站,学生信息管理系统等重要系统都必须做等保)
三、云计算(阿里云、华为云,云视频和云电话、云服务、腾讯云等等)
四、医疗行业
(各大医院网上系统必须做等保,互联网医疗想取得线上诊疗资质,就需要有等保才可以,当然医疗、消防、紧急救援这些 社会 应急服务系统也是需要做等保测评的。)
那有哪些行业机构是上级主管部门要求一定要做的呢?
一、通信行业(各大电信运营商、电信公司等)
二、交通行业(航空,公路、铁路、水运、海运等)
三、能源(石油公司、热力公司、烟草公司、燃气、煤炭和电力公司)
四、物流快递行业是不做等保不给换许可证
五、广电传媒行业更是被行业要求需取得等保
(电视台、出版社、报社等)
像以下这些行业机构在招投标等情况可能会被甲方或行业要求必须做等保:
(酒店行业、物联网、软件开发、大数据、工业数据安全)
如果您的企业符合上述情况,那么,为了您企业的信息安全和运营合规,请尽快办理网络安全等保测评!
(全心全意为您和您的企业服务,为您提供企业一站式服务,如有需要,欢迎咨询!)
文章如有错处欢迎指正,文章如有不当,请联系删除。
‘肆’ 等级保护测评流程是什么,对公司人员要求是什么
信息安全等级保护测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
测评技术层面具体的对象是:
1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
(4)行业网络安全等级保护工作考核扩展阅读:
等级划分:
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度。
信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
‘伍’ 网络安全等保测评的人员要求一般是什么
三级等保每年测评一次,二级等保两年测评一次。二级至少应具有6名以上等级测评师,其中中级测评师不少于2名;三级(含)以上信息系统等级测评工作的测评机构至少应具有 10 名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。
网络安全等级保护一共分五级:
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③ 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
网络安全等级保护备案办理流程:
一步:定级;(定级是等级保护的首要环节)
二步:备案;(备案是等级保护的核心)
三步:建设整改;(建设整改是等级保护工作落实的关键)
四步:等级测评;(等级测评是评价安全保护状况的方法)
五步:监督检查。(监督检查是保护能力不断提高的保障)
证书案例
‘陆’ 信息系统安全等级保护定级工作是一项什么样的工作需要做哪些工作
你好,我国实行网络安全等级保护制度,网络运营单位都要按要求落实等级保护工作。什么是等级保护呢?简而言之,就是对信息和信息载体按照重要性等级分级别进行保护。就我国目前的情况而言,信息和信息载体的保护等级分为五个级别,从一到五级别逐渐升高。网络运营单位的信息和信息载体属于哪一个等级,就要按照这个等级的要求来做等级保护工作。
等级保护需要做哪些工作呢?
一般来说,等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节,下面我将依照等保2.0标准,对三级等保办理流程做详细解读:
1、系统定级
等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南,云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体,比如公益组织和中小私营企业,原则上也要进行定级备案。
同时,根据相关规定,定级对象具有以下三大基本特征:
①具有确定的主要安全责任主体;
②承载相对独立的业务应用;
③包含相互关联的多个资源。
如果企业的系统有以上特征,那么就算系统再小,也需要进行定级备案。简而言之,互联网上的系统差不多都要进行定级备案。
那么,等保定级究竟怎么定呢?根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
2、系统备案
根据《网络安全法》规定:
①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
企业最终确定保护对象的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3、安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
4、等级测评
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
二级及以上的信息系统都要做等级测评,且等级测评得分要在70分以上,并且没有高风险项才算通过。等级测评结束后,测评机构会出具测评报告。企业需要把测评报告提交给公安机关,才算真正落实了等级保护工作。
5、监督检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
‘柒’ 等保测评怎么做
等保的步骤包含五个方面:等保定级、等保备案、等级测评、系统安全建设、监督检查。
等保定级
信息系统安全等级,由系统运用、使用单位依据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级,有主管部门的,应当经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。
总共分为五个等级:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。
等保备案
运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的,应当重新定级、重新备案。对于重新等级的,公安机关一般会建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
等级测评
运营、使用单位或者主管部门应当选择合规测评机构,定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评,五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
建设整改
运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。系统建设整改,对于未达到安全等级保护要求的,运营、使用单位应当进行整改,整改完成应当将整改报告报公安机关备案。
监督检查
公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
受理备案地公安机关会对三级、四级信息系统进行检查,检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。新系统开发建设之后,要及时开展等保测评或相关安全测试,避免系统带病上线,消除安全隐患。
‘捌’ 什么是等级保护测评
信息安全等级保护简称等保。
在我国等保分为五个等级,一贯坚持自主定级、自主保护的原则。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。