什么是网络安全等级保护认定?
什么是网络安全等级保护认定?
什么是网络安全等级保护认定?
网络安全等级保护(与公安部联网,强制要求)
等保咨询请留言
对信息系统分等级进行安全保护和监管;
对信息安全产品的使用实行分等级管理;
对信息安全事件实行分等级响应、处置。
将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上系统到公安机关备案,公安机关审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改;聘请测评机构进行等级测评;公安机关定期开展监督、检查、指导。
2017年6月1日,《中华人民共和国网络安全法》正式发布,第二十一条明确“国家实行网络安全等级保护制度……”
2017年5月,国家公安部发布《GT/T1389---2017网络安全等级保护定级指南》、《GAT/T1390.2---2017网络安全等级保护基本要求 》等4个公共安全行业等级保护标准
其他等级保护相关法律法规:
⦁ 个人信息保护法
⦁ 重要数据和敏感信息保护条例(中国版GDPR)
⦁ 关键信息基础设施保护条例
⦁ 其他行业性网络安全合规要求
信息安全等级保护2.0所涉及的行业:
1.金融,尤其是互联网金融 (不做等保不允许经营,监管最严)
2.医疗 (各大医院系统必须做等保,互联网医疗要想上线取得线上诊疗资质,必须过等保)
3.教育 (211,985大学必须做等保,互联网+教育如学生管理系统、学校网站等重要系统必须做等保)
4.能源 (上级主管部门要求)
5.通信 (上级主管部门要求)
6.交通 (上级主管部门要求)
7.zhengfujiguan,企事业单位,央企(等保和负责人的绩效考核挂钩)
8.征信行业(行业要求必须做等保)
9.软件开发(行业或者甲方要求必须做等保)
♥10.物联网(行业或者甲方要求必须做等保)
♥11.工业数据安全(行业或者甲方要求必须做等保)
♥12.大数据(行业或者甲方要求必须做等保)
♥13.云计算 (阿里云,华为云,云电话,云视频,云服务等等)
♥14.快递行业(不做等保不给换许可证)
♥15.酒店行业(属于最近严查行业)
《信息安全等级保护管理办法》(公通字[2007]43号“第七条
信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
从信息系统对国家安全、经济建设、公共利益等方面
的重要性,以及信息系统被破坏后造成危害的严重性
角度对信息系统确定的等级-重要性定级。
网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
·定级要素一:受侵害的客体
•定级要素二:对客体的侵害程度
•定级要素与安全保护等级的对应关系
定级方法
• 系统识别
• 识别单位基本信息
• 识别管理框架
• 识别业务种类和业务流程
• 识别信息
• 识别网络结构
• 识别主要的软硬件设备
• 识别用户类型和分布
系统划分
• 分析安全管理责任,确定管理边界
• 分析网络结构和已有内外部边界
• 分析业务流程和业务间关系
·管理机构
• 业务特点
• 分析物理位置的差异
定级流程
1. 确定定级对象
2. 初步确定等级
3. 专家评审
4. 主管部门审核
5. 公安机关备案审查