中文
什么是等级保护?

基本概念

网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

等级保护的五个级别

《GB 17859-1999计算机信息系统安全保护等级划分准则》中定义了五个系统级别。

为什么要做等保?
  • 国家法律要求

    国家法律法规及行业监管政策都要求开展等级保护工作。如《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

  • 客户要求

    信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。

  • 自身安全要求

    信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

怎么做等保?
  • 定级备案

    协助企业填写定级资料,将定级资料交给各自地级市的网安机关进行备案。

  • 咨询与预测评

    进行系统梳理与调研,并进行预测评,出具《差距性分析》和《整改方案书》。

  • 建设整改

    依据差距分析和相关风险评估、整改方案进行落地整改及系统安全加固。

  • 正式测评

    整改完成后对系统进行全方面复测评,最后出具合格测评报告。

  • 监督检查

    系统持续改进与优化,并按照法定相关要求进行年检和复查。

哪些行业需要开展等级保护工作?
  • 政府机关

  • 电子政务

  • 工商税务

  • 公安

  • 国土资源

  • 公共事业

  • 交通运输

  • 教育行业

  • 医疗卫生

  • 铁路

  • 金融

  • 电力

  • 石油石化

  • 煤炭

  • 央企

  • 制造业

  • 烟草

  • 高科技电子

  • 快速消费品

  • 零售行业

  • 互联网

  • 电商

  • 云计算

  • 大数据

等保建设过程中需要注意的重要事项

等保定级对象
  • 基础信息网络

    对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。

  • 物联网

    包括感知、网络传输和处理应用等多种特征,应将以上要素作为一个整体的定级对象,各要素并不单独定级。

  • 工业控制系统

    应将现场采集 执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。

  • 云计算平台

    应区分为服务提供方与租户方,各自分别作为定级对象;对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

  • 采用移动互联技术的网络

    应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

  • 大数据

    除安全责任主体相同的平台和应用可以整体定级外,应单独定级。

如何定级
受侵害的客体侵害程度

一般伤害严重损害特别严重损害
公民法人和其他组织的合法权益第一级第二级第三级
社会秩序、公共利益第二级第三级第四级
国家安全第三级第四级第五级
时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部