什么叫:網(wǎng)絡(luò)安全等級保護(hù)?
編輯:2023-04-23 15:13:27
一、什么是等保
“等保”,即信息安全等級保護(hù),是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度。早在2017年8月,公安部評估中心就根據(jù)網(wǎng)信辦和信安標(biāo)委的意見將等級保護(hù)在編的5個(gè)基本要求分冊標(biāo)準(zhǔn)進(jìn)行了合并形成《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn)。(GB/T 22239—2019代替 GB/T 22239-2008)該標(biāo)準(zhǔn)于2019年5月10日發(fā)布,于2019年12月1日開始實(shí)施。
二、為什么要做等保
1、安全標(biāo)準(zhǔn):信息安全等級保護(hù)(簡稱等保)是目前檢驗(yàn)一個(gè)系統(tǒng)安全性的重要標(biāo)準(zhǔn),是對系統(tǒng)是否滿足相應(yīng)安全保護(hù)的評估方法。
2、法律要求:《網(wǎng)絡(luò)安全法》和《信息安全等級保護(hù)管理辦法》明確規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行安全保護(hù)義務(wù),如果拒不履行,將會受到相應(yīng)處罰。
3、自我檢查:開展等保可對系統(tǒng)進(jìn)行一次全面檢測,全面發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處。
三、等保包含哪些內(nèi)容
等保是一個(gè)全方位系統(tǒng)安全性標(biāo)準(zhǔn),不僅僅是程序安全,包括:物理安全、應(yīng)用安全、通信安全、邊界安全、環(huán)境安全、管理安全等方面。
?
【物理安全】機(jī)房物理訪問控制、防火,防雷擊,溫濕度控制、電力供應(yīng),電磁防護(hù)。
【應(yīng)用安全】應(yīng)用具備身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、軟件容錯(cuò)、資源控制和代碼安全。
【通信安全】包括網(wǎng)絡(luò)架構(gòu),通信傳輸,可信驗(yàn)證。
【邊界安全】包括邊界防護(hù),訪問控制,入侵防范,惡意代碼防護(hù)等。
【環(huán)境安全】 入侵防范,惡意代碼防范,身份鑒別,訪問控制,數(shù)據(jù)完整性、保密性,個(gè)人信息保護(hù)。
【管理安全】系統(tǒng)管理,審計(jì)管理,安全管理,集中管控。
四、等保1.0、2.0有什么區(qū)別?
【等保1.0】以1994年國務(wù)院頒布的147號令《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》為指導(dǎo)標(biāo)準(zhǔn),以2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 》為指導(dǎo)的網(wǎng)絡(luò)安全等級保護(hù)辦法,業(yè)內(nèi)簡稱等保,即目前的等保 1.0。
【等保2.0】以《中華人民共和國網(wǎng)絡(luò)安全法》為法律依據(jù),以2019年5月發(fā)布的《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》為指導(dǎo)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全等級保護(hù)辦法,業(yè)內(nèi)簡稱等保2.0。
【1.0、2.0的區(qū)別】
等保2.0提出新的技術(shù)要求和管理要求,強(qiáng)調(diào)“一個(gè)中心,三重防護(hù)”,關(guān)鍵點(diǎn)包括可信技術(shù)、安全管理中心,以及云計(jì)算、物聯(lián)網(wǎng)等新興領(lǐng)域的安全擴(kuò)展要求。對應(yīng)地,企業(yè)在安全防護(hù)體系建設(shè)、風(fēng)險(xiǎn)評估和管理上需要更加全面,并需關(guān)注所在行業(yè)的安全要求和定級標(biāo)準(zhǔn)。
五、等保分幾個(gè)級別?
等保分五個(gè)級別,越高安全性越好,其中:
【等保一級】等保一級為“用戶自主保護(hù)級”,是等保中最低的級別,該級別無需測評,提交相關(guān)申請資料,公安部門審核通過即可。
【等保二級】等保二級為“系統(tǒng)審計(jì)保護(hù)級”,是目前使用最多的等保方案,所有“信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全?!狈秶鷥?nèi)網(wǎng)站均可適用,可支持到地級市各機(jī)關(guān)、事業(yè)單位及各類企業(yè)的系統(tǒng)應(yīng)用,比如:網(wǎng)上各類服務(wù)的平臺(尤其是涉及到個(gè)人信息認(rèn)證的平臺),市級地方機(jī)關(guān)、政府網(wǎng)站等等。
【等保三級】等保三級等為“安全標(biāo)記保護(hù)級”,級別更高,支持“信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。”范圍,適用于“地級市以上的國家機(jī)關(guān)、企業(yè)、事業(yè)單位的內(nèi)部重要信息系統(tǒng)”,比如省級政府官網(wǎng)、銀行官網(wǎng)等等。三級等保也是我們能制作的最高級別等保網(wǎng)站。
【等保四級】等保四級等保適用于國家重要領(lǐng)域、涉及國家安全、國計(jì)民生的核心系統(tǒng),比如中國人民銀行就是目前唯一四級等保的中國央行門戶集群。
【等保五級】等保五級等保是目前我國最高級別,一般應(yīng)用于國家的機(jī)密部門。
六、等保測評流程是怎么樣的?
等保包括五個(gè)階段:1、定級、2、備案、3、建設(shè)整改、4、等級測評、5、監(jiān)督檢查。定級對象(即需要過等保的對象)建設(shè)整改后,需要選擇符合國家要求的測評機(jī)構(gòu),按《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)進(jìn)行等級測評,之后向監(jiān)管單位提交測評報(bào)告。
七、等保是法律要求的?
《網(wǎng)絡(luò)安全法》和《信息安全等級保護(hù)管理辦法》明確規(guī)定信應(yīng)履行安全保護(hù)義務(wù),如果拒不履行,將會受到相應(yīng)處罰。
以下節(jié)選自《中華人民共和國網(wǎng)絡(luò)安全法》:
第二十一條:國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改
第三十八條:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
第五十九條:網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款?!£P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬元以上一百萬元以下罰款,對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
來源:老李講安全
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層