IT资质
qualifications
-
全国客户服务热线
138-2352-8464
当前位置:首页 > IT资质 > 网络安全等级保护测评
网络安全等级保护测评
网络安全等级保护以及测评
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管。等保测评是在公安网安部门的监督指导下,参照相关法律、标准和规范对网络进行监测评估,验证信息系统是否满足相应等级安全要求的重要手段。
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管。等保测评是在公安网安部门的监督指导下,参照相关法律、标准和规范对网络进行监测评估,验证信息系统是否满足相应等级安全要求的重要手段。目前执行的最主要的标准是2019年颁布实施的《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)。在网络运营过程中,跟等保测评有关系的有以下主体:业主单位信息部门、等保测评公司、公安网安部门、网安厂商、集成公司,各主体各司其职。业主单位负总责,测评公司执行检测评估,网安部门监督检查,网安厂商提供网络安全产品,集成公司提供建设整改。
(1)等级划分
等级保护一共分为五个等级,但是在最新的标准里面,对五级的说明为空白,只对一至四级做了说明。一级不用自主测评,二级以上需要网安部门测评备案。目前主要就是二级和三级,四级系统全国都很少,至于五级本人目前未曾见过(不代表没有,只是本人没见过)。
第一级:自主保护级。适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。例如,一些小型企业内部的简单办公自动化系统。
第四级:强制保护级。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。典型的如国家关键基础设施的核心系统。
第五级:专控保护级。信息系统受到破坏后,会对国家安全造成特别严重损害。这一级别的系统涉及国家核心安全领域,相关细节通常高度保密。
(2)主要工作内容和流程
定级备案
信息系统运营、使用单位按照等级保护相关管理规范和技术标准,对信息系统确定安全保护等级,并向公安机关备案。在这个过程中,需要详细描述系统的功能、处理的数据类型、用户范围等信息,以便准确确定系统等级。
《信息安全技术―网络安全等级保护定级指南》规定了如何对系统进行定级,在等保1.0中,是业主单位自主定级,等保2.0中,定级是需要召开评审会,来进行定级。
安全建设整改
根据系统所定的安全等级,按照相应的标准要求,建设安全技术体系和安全管理体系。安全技术体系包括物理安全(如机房的访问控制、设备的防盗等)、网络安全(如防火墙的配置、入侵检测系统的部署等)、主机安全(如操作系统的安全加固)、应用安全(如 Web 应用的漏洞防护)和数据安全(如数据的加密存储和传输)。安全管理体系则包括安全管理制度、人员安全管理、系统建设和运维安全管理等方面。
等级测评
由具备资质的测评机构依据相关标准对信息系统的安全等级状况进行评估。测评内容包括安全技术测评和安全管理测评。测评机构会出具测评报告,指出系统在安全方面存在的问题和风险。
监督检查
公安机关等监管部门对信息系统运营、使用单位的等级保护工作进行监督检查。主要检查其定级备案、安全建设整改、等级测评等工作是否符合要求,对于不符合要求的单位责令限期整改,对于违反相关法律法规的行为依法进行处理。
(1)等级划分
等级保护一共分为五个等级,但是在最新的标准里面,对五级的说明为空白,只对一至四级做了说明。一级不用自主测评,二级以上需要网安部门测评备案。目前主要就是二级和三级,四级系统全国都很少,至于五级本人目前未曾见过(不代表没有,只是本人没见过)。
第一级:自主保护级。适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。例如,一些小型企业内部的简单办公自动化系统。
第二级:指导保护级。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。像一些普通的社区服务网站。
第四级:强制保护级。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。典型的如国家关键基础设施的核心系统。
第五级:专控保护级。信息系统受到破坏后,会对国家安全造成特别严重损害。这一级别的系统涉及国家核心安全领域,相关细节通常高度保密。
(2)主要工作内容和流程
定级备案
信息系统运营、使用单位按照等级保护相关管理规范和技术标准,对信息系统确定安全保护等级,并向公安机关备案。在这个过程中,需要详细描述系统的功能、处理的数据类型、用户范围等信息,以便准确确定系统等级。
《信息安全技术―网络安全等级保护定级指南》规定了如何对系统进行定级,在等保1.0中,是业主单位自主定级,等保2.0中,定级是需要召开评审会,来进行定级。
安全建设整改
根据系统所定的安全等级,按照相应的标准要求,建设安全技术体系和安全管理体系。安全技术体系包括物理安全(如机房的访问控制、设备的防盗等)、网络安全(如防火墙的配置、入侵检测系统的部署等)、主机安全(如操作系统的安全加固)、应用安全(如 Web 应用的漏洞防护)和数据安全(如数据的加密存储和传输)。安全管理体系则包括安全管理制度、人员安全管理、系统建设和运维安全管理等方面。
等级测评
由具备资质的测评机构依据相关标准对信息系统的安全等级状况进行评估。测评内容包括安全技术测评和安全管理测评。测评机构会出具测评报告,指出系统在安全方面存在的问题和风险。
监督检查
公安机关等监管部门对信息系统运营、使用单位的等级保护工作进行监督检查。主要检查其定级备案、安全建设整改、等级测评等工作是否符合要求,对于不符合要求的单位责令限期整改,对于违反相关法律法规的行为依法进行处理。
深信安专注于为中大型及全球化企业提供高品质一体化服务,包括IT资质,体系建设,项目申报,军工/涉密等,7*24小时全天配备专业运维及客服人员,致力为企业打造可信赖及综合的智能化ICT解决方案。您可以直接拨打咨询电话:13823528464 孙经理,我们将马上安排资深顾问为您介绍成功案例、产品详情、定制化解决方案及报价等信息。
官方网址:http://www.shenxinan.com/index.html
公司地址:深圳市龙华区民治街道蓝坤大厦813室
- 上一篇:解析企业实行网络安全等级保护的必要性
- 下一篇:网络安全等级保护的演变过程