信息系统等级保护简介

一、关于信息等级保护

       网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安置保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

      《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。


       2008年初版等保标准称为等保1.0,在2019年发布的等保新标准称为等保2.02019121日起,等保2.0将正式实施,各单位应遵循《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等最新标准执行等级保护工作。


二、法律要求


      强制性开展等保工作一是满足监管方面要求,二是行业方面的前置条件,三是满足合作的条件(应客户要求,合作前提为自己的核心业务系统或合作相关的系统同样开展了等级保护相关工作)

三、涉及范围

       国家规定网络安全等级保护涉及范围分为两个层面:一是覆盖各地区、各单位、各部门、各企业、各机构,即是覆盖全社会。二是覆盖所有保护对象,包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用


四、等保分级


      办理信息系统的网络安全等级保护资质申请条件分为以下五级:
五、等保认证流程

1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)

2.备案(企业提交备案材料-公安机关审核-发放备案证明)

3.建设整改(安全建设-安全整改)

4.测评(等级测评-三级每年测评一次)

5.监督检查(公安机关每年监督检查)



七、服务公司级测评机构基础资质

整改公司必须拥有DJJS等级建设资质,测评机构DJCP必须拥有等级测评资质,没有资质禁止开展等级保护工作。且建设整改单位不准进行测评工作,测评机构不准进行整改工作(裁判和运动员的关系,独立开来)。





八、核心等保工作输出物


1、有效的测评报告(内容:系统测评内容及分值)

2、信息系统安全等级保护备案证(系统终身伴随,复测不许再次办理,除非系统结构发生变化、公司名称发生变化、等级发生变化)


3、全套管理制度文档

4、整改过程文档(对系统整改的全过程进行记录、留存)

5、所有输出物

六、等保的四个主体单位及责任分工
分级说明:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害, 但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。


定级要素与安全保护级别的关系
受侵害的客体对客体的侵害程度
一般损害严重损害特别严重损害
公民、法人和其他组织的合法权益第一级第二级第三级
社会秩序、公共利益第二级第三级第四级
国家安全第三级第四级第五级


常见行业等保定级参考
准则网络安全法
主要对象政府机关、电信行业、企业单位、医疗单位、教育单位
主要系统官网系统OA系统CRM系统业务系统ERP系统电商平台HIS系统互联网医院网络货运平台
级别二级二级二级二级/三级二级/三级三级三级三级三级


关注我们
产品与服务
解决方案
关于宏富云
Richness  Your Business & Value
联系我们
扫描二维码获取更多资讯
姓名
*
职称
*
电话
*
邮箱
*
公司
*
地址
*
需求
*
提交
* 您已详阅本公司的隐私权声明,并同意本公司依法搜集、处理及利用您的个人资料