信息系统等级保护简介
《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2008年初版等保标准称为等保1.0,在2019年发布的等保新标准称为等保2.0。2019年12月1日起,等保2.0将正式实施,各单位应遵循《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等最新标准执行等级保护工作。
二、法律要求
四、等保分级
1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2.备案(企业提交备案材料-公安机关审核-发放备案证明)
3.建设整改(安全建设-安全整改)
4.测评(等级测评-三级每年测评一次)
5.监督检查(公安机关每年监督检查)
整改公司必须拥有DJJS等级建设资质,测评机构DJCP必须拥有等级测评资质,没有资质禁止开展等级保护工作。且建设整改单位不准进行测评工作,测评机构不准进行整改工作(裁判和运动员的关系,独立开来)。
八、核心等保工作输出物
1、有效的测评报告(内容:系统测评内容及分值)
2、信息系统安全等级保护备案证(系统终身伴随,复测不许再次办理,除非系统结构发生变化、公司名称发生变化、等级发生变化)
3、全套管理制度文档
4、整改过程文档(对系统整改的全过程进行记录、留存)
5、所有输出物
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害, 但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
定级要素与安全保护级别的关系 | |||
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
常见行业等保定级参考 | |||||||||
准则 | 网络安全法 | ||||||||
主要对象 | 政府机关、电信行业、企业单位、医疗单位、教育单位 | ||||||||
主要系统 | 官网系统 | OA系统 | CRM系统 | 业务系统 | ERP系统 | 电商平台 | HIS系统 | 互联网医院 | 网络货运平台 |
级别 | 二级 | 二级 | 二级 | 二级/三级 | 二级/三级 | 三级 | 三级 | 三级 | 三级 |
|