等級保護基礎知識概覽

  業界資訊     |      2023-03-25 11:17

網絡安全等級保護是國家網絡安全工作的基本制度、基本國策,是維護國家關鍵信息基礎設施安全的重要手段。從1994年至今,網絡安全等級保護制度工作經過實踐及改進,不斷豐富制度內涵、拓展保護范圍、完善監管措施,逐步健全網絡安全等級保護制度政策、標準和支撐體系,對我國的網絡信息安全建設具有重要的指導作用。

等級保護發展史

等級保護工作經過近二十年的發展已經從1.0階段發展到2.0階段,從制度上升到法律:

等級保護1.0:1994年,國務院頒布《中華人民共和國計算機信息系統安全保護條例》,規定計算機信息系統實行安全等級保護。

等級保護基礎知識概覽插圖

等級保護2.0:2016年10月10日,第五屆全國信息安全等級保護技術大會召開,公安部網絡安全保衛局郭啟全總工指出“國家對網絡安全等級保護制度提出了新的要求,等級保護制度已進入2.0時代”。

2017年6月1日,《中華人民共和國網絡安全法》正式頒布,第二十一條明確“國家實行網絡安全等級保護制度……”,等級保護制度正式進入有法可依階段。

等級保護基礎知識概覽插圖1

等?;A之十問十答

Q1:等保2.0、等保3.0是什么?

A1:等保中提到的“二級”、“三級”,意指信息系統運營者根據信息系統在國家安全、經濟建設、社會生活中的重要程度及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。

等保二級指對信息系統進行第二級安全保護,等保三級指對信息系統進行第三級安全保護,并非是“等保2.0”及“等保3.0”。

等級保護根據《GB 17859-1999 計算機信息系統安全保護等級劃分準則》(網絡安全領域唯一一個強制標準)規定共分五級,分別是:

等級保護基礎知識概覽插圖2

Q2:等級保護的工作流程是什么?

A2:等級保護主要工作流程為定級、備案、建設整改、等級測評、監督檢查五個環節。

等級保護基礎知識概覽插圖3

等保工作重點注意事項:

定級環節:二級及以上的系統必須經過專家評審、主管部門審核(此要求為等保2.0新增);

備案環節:網安備案的審批處理時間為10個工作日;

建設整改環節:需參照最新的等保2.0國標進行規劃設計;

測評環節:找具有測評資質的測評機構進行測評。

Q3:不同等級多少分可以通過等保測評?

A3:2021年6月18日執行的新測評標準(等保測評報告模板(2021 版)),計分方式由得分制調整為缺陷扣分制,由“符合”、“不符合”調整為“優、良、中、差”四個等級測評結論。

等級保護基礎知識概覽插圖4

等級保護基礎知識概覽插圖5

Q4:等保測評通過后,多久需要復測?

A4:二級信息系統每兩年測評一次,三級信息系統明確規定每年測評一次,四級信息系統每半年測評一次。

Q5:有包過的技術解決方案嗎?

A5:不存在包過的技術方案。等級保護測評包含技術部分和管理部分,單純的技術解決方案默認分數占比只有50%,管理部分的建設也至關重要,可以選取專業的安全廠商及專業的測評機構來開展等保建設及測評工作,更加容易通過。

Q6:業務系統在云上,如何進行等保建設工作?