早在2017年,等保就已经在很多上市企业中实行。在进入18年之后,等保2.0概念更新之后,国家就更加强调企业等保合规的执行了。
那么什么是等保呢?
等保的全称是信息安全等级保护,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保
用一句话概括的话,等保就是对信息和信息载体按照重要性等级分级别进行保护的一种工作。纵观等保的发展历史,可以更好的了解等保政策。
1994年,国务院147号令第一次提出等级保护概念,要求对信息系统分等级进行保护;
在1999年,GB17859命令中国家强制标准发布,信息系统等级保护建设必须遵循的法则;
之后在2005年,公安部介入,发布了《基本要求》、《定级指南》、《实施指南》、《测评标准》四大标准;
在2007年,公通字【2007】43号中进行了等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等。
进入2015,中央网信领导小组2015年工作要求提出:落实国家信息安全等级保护制度。
在2017年,《网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度重要措施,于2017年6月1日起施行。
对于企业来说,完成等级保护测评也就意味着公安机关认可了你的安全现状,一旦发生安全事件时意外。如果没有进行等级保护测评则意味着没有达到国家的要求,一旦发生安全事件需要自己承担相关责任。所以对于很多企业来说,完全不重视、也不知道如何去做好自己的网络安全,那么就可以依照等保的要求来进行。
希望本回答可以帮助到你
望采纳~
什么情况需要做安全等级保护?为什么要做,怎么做?
首先,如果你要是一个纯粹浏览的网站,就没有必要了。要是能交易的网站,购物的网站,要做个等级保护的。
请点击安全等级保护
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护分为五个级别:
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
网络安全是我国网络强国战略的重要组成部分,网络安全等级保护是落实网络安全的一项基础性重点工作。2017年6月1日,《中华人民共和国网络安全法》正式实施,明确“国家实行网络安全等级保护制度”,标志着网络安全等级保护工作步入2.0时代。2019年5月13日,《网络安全等级保护基本要求》(GB/T 22239-2019)等新版技术标准发布,开启了等保2.0工作新篇章,对保障网络安全,维护公共利益、社会秩序和国家安全具有重要作用。今天时代新威为您总结下关于等级保护工作的一些基础性知识(上篇),方便大家对等级保护工作有个快速的认识和了解。
一、什么是等级保护?
答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。
二、等级保护工作具体步骤是怎样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级;2)是信息系统备案;3)是系统安全建设;4)是信息系统开始等级测评;5)主管单位定期开展监督检查。
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。
三、开展等级保护工作的相关法律法规或文件要求?
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度;《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;《中华人民共和国网络安全法》第21条明确了国家实行网络安全等级保护制度。
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本网络安全制度,不开展等级保护工作就是在违法,大家一定要认识到问题的严重性。
四、等级保护分为几个等级?
答:分为五个等级,分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。
我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
五、去哪里进行信息系统的定级备案工作?
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
六、什么是等级保护测评?
答:等级保护测评指的是等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
解读:测评的主体是测评机构,测评的对象是非涉密的信息系统。
安全是发展的前提,发展是安全的保障。没有网络安全,信息社会将成为黑暗中的废墟。时代新威作为连续多年参与护网的安全公司,在行动中获得了多方认可。等级保护2.0的发布必将对我国网络安全产业带来新的机遇与挑战,时代新威作为专业的智能信息系统审计专家,在等级保护2.0时代也将发挥越来越重要的作用,体现出越来越大的实际应用价值。
网络安全是我国网络强国战略的重要组成部分,网络安全等级保护是落实网络安全的一项基础性重点工作。2017年6月1日,《中华人民共和国网络安全法》正式实施,明确“国家实行网络安全等级保护制度”,标志着网络安全等级保护工作步入2.0时代。2019年5月13日,《网络安全等级保护基本要求》(GB/T 22239-2019)等新版技术标准发布,开启了等保2.0工作新篇章,对保障网络安全,维护公共利益、社会秩序和国家安全具有重要作用。今天时代新威为您总结下关于等级保护工作的一些基础性知识(下篇),方便大家对等级保护工作有个快速的认识和了解。
七、信息系统的测评多久需要测一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如教育行业明确二级系统两年做一次测评。
解读:二级系统为什么建议是两年呢?一、系统相对三级没那么重要,所以时间上相对长点;二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
八、等级保护测评一般多长时间能测完?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间上会相对较长。
解读:理论上首次测评之后出具测评报告项目就结束了,但是实际情况好多是客户接受不了结论不符合的报告,所以很多时候是等客户整改后,测评机构再进行复测,复测完成后出具最终的测评报告。所以在首次测评后需要抓紧进行安全整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把安全整改抓紧落实完成。
九、等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样。费用每个省市情况不一样,通常每个省市都有自己的一个价格区间。整体价格的规律是系统等级越高测评费用越多,系统规模越大测评费用越高,具体价格和当地测评机构进行确定。
解读:测评的费用按照系统个数和系统的等级去核算,等级越高的相对费用越高,具体请根据每个省的行情来看。
十、用户单位需要开展等级保护测评,找谁去做?
答:根据目前最新的测评机构管理办法规定:具有有效的信息安全等级保护测评机构推荐证书且没有被停业整顿的测评机构均有资格开展等级测评工作。
解读:测评必须是有资质有资格的测评公司去做,有些厂商或者集成商号称能做测评,他们可能是有这个技术水平,但是没有这个资格和资质,另外现在全国放开了,理论上想去哪里开展业务都可以。
十一、等级保护测评后的最终结论分为哪几种?
答:测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分,如82分。
解读:测评的结论理论上有符合这种结论,就是满分100分的情况,但是实际上很难达到,也几乎没有出现过,如果你们家测评达到100分了,或者你经常看到有人得100分,那一定是这家测评机构不负责任地在测评。一方面是没有绝对的安全,另一方面等保的一些条款确实很难达到或者不适用。初次做等保能达到65-75之间就已经不错了。
十二、等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
解读:测评结论不符合不是最重要的,最重要的是我们已经发现了问题,下面就需要及时对这些问题特别是高危风险及时进行安全整改,消除隐患,降低风险。
安全是发展的前提,发展是安全的保障。没有网络安全,信息社会将成为黑暗中的废墟。时代新威作为连续多年参与护网的安全公司,在行动中获得了多方认可。等级保护2.0的发布必将对我国网络安全产业带来新的机遇与挑战,时代新威作为等保全面解决方案专家,在等级保护2.0时代也将发挥越来越重要的作用,体现出越来越大的实际应用价值。