中文

等保解读】解读信息安全等级保护之测评

文章发布日期:2017-09-15

[摘要] 网络安全等级保护制度是我国网络安全保障领域普适性的制度,对国家网络安全保障有着不可替代的作用。本文 时代新威 主要介绍安全发展历程、等保定义法律规范、开展等保工作的
网络安全等级保护制度是我国网络安全保障领域普适性的制度,对国家网络安全保障有着不可替代的作用。本文时代新威主要介绍安全发展历程、等保定义法律规范、开展等保工作的十大误区等问题来解答您的疑惑!
 
一、安全发展历程


安全发展历程
 
1、2010年4月年公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》
 
2、2015年11月刑法修正案(九)新增安全处罚条例第二百八十六条之一;
 
3、2017年6月1日《中华人民共和国网络安全法》,正式开始实施;
 
4、2018年全国各地公安厅将重点针对等级保护工作提出更高要求以及国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。
 
 
等级保护的定义

二、等级保护的定义
 
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。


在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
 等级保护的划分
三、等级保护的划分:
 
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
 
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
 
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
 
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
 
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
等级保护对象
 
四、等级保护对象:
 
在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象包括基础信息网络(如广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、物联网、工业控制系统等;确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作;应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
等级保护刑法相关
 
五、等级保护刑法相关:
 
刑法修正案(九)第二百八十六条之一(新增):“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金”:
 
(一)致使违法信息大量传播的;
 
(二)致使用户信息泄露,造成严重后果的;
 
(三)致使刑事犯罪证据灭失,严重妨害司法机关依法追究犯罪的;
 
(四)有其他严重情节的。
等级保护测评收益
 
六、等级保护测评收益:

 
1.严格按照相关法律法规及标准执行评估,满足主管单位和行业安全要求;
 
2.梳理业务系统重要资产信息,了解信息资产面临的外部威胁和自身弱点;
 
3.明确系统安全现状,防患于未然,对于未来系统建设和投入有指导意义;
 
4.完善和规范的服务流程,享受专家技术支持服务;
 
5.通过安全专家核查及提出整改建议,并督促企业整改,降低系统被入侵风险;
 
6.极大提高技术人员的安全意识和技术水平,有助降低运维成本,提高效率。

 
后续,时代新威将继续为您揭晓如何开展等级保护建设的相关工作、如何确定定级对象的保护等级和备案、如何平滑过渡到符合2.0各项要求等相关问题的解答!


时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部