English/英文

【等保解读】一文读懂等级保护(上)
2017-08-18
[摘要] 网络安全是我国网络强国战略的重要组成部分,网络安全等级保护是落实网络安全的一项基础性重点工作。2017年6月1日,《中华人民共和国网络安全法》正式实施,明确国家实行网络安
网络安全是我国网络强国战略的重要组成部分,网络安全等级保护是落实网络安全的一项基础性重点工作。2017年6月1日,《中华人民共和国网络安全法》正式实施,明确“国家实行网络安全等级保护制度”,标志着网络安全等级保护工作步入2.0时代。2019年5月13日,《网络安全等级保护基本要求》(GB/T 22239-2019)等新版技术标准发布,开启了等保2.0工作新篇章,对保障网络安全,维护公共利益、社会秩序和国家安全具有重要作用。今天时代新威为您总结下关于等级保护工作的一些基础性知识(上篇),方便大家对等级保护工作有个快速的认识和了解。
 
 

一、什么是等级保护?
 
答:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
 
解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。


 
二、等级保护工作具体步骤是怎样的?
 
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级;2)是信息系统备案;3)是系统安全建设;4)是信息系统开始等级测评;5)主管单位定期开展监督检查。
 
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。


 
三、开展等级保护工作的相关法律法规或文件要求?
 
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度;《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;《中华人民共和国网络安全法》第21条明确了国家实行网络安全等级保护制度。
 
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本网络安全制度,不开展等级保护工作就是在违法,大家一定要认识到问题的严重性。


 
四、等级保护分为几个等级?
 
答:分为五个等级,分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。
 
我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。


 

五、去哪里进行信息系统的定级备案工作?
 
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。

解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。


 
六、什么是等级保护测评?
 
答:等级保护测评指的是等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

解读:测评的主体是测评机构,测评的对象是非涉密的信息系统。

安全是发展的前提,发展是安全的保障。没有网络安全,信息社会将成为黑暗中的废墟。时代新威作为连续多年参与护网的安全公司,在行动中获得了多方认可。等级保护2.0的发布必将对我国网络安全产业带来新的机遇与挑战,时代新威作为专业的智能信息系统审计专家,在等级保护2.0时代也将发挥越来越重要的作用,体现出越来越大的实际应用价值。