信息安全系統(tǒng)等級(jí)保護(hù)|一文讀懂“等保測(cè)評(píng)備案”
在中國(guó),信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作;狹義上一般指信息系統(tǒng)(APP)安全等級(jí)保護(hù)。
互聯(lián)網(wǎng)時(shí)代,隨著信息化進(jìn)程不斷推進(jìn),網(wǎng)絡(luò)和信息系統(tǒng)的安全問(wèn)題愈加重要。一些企業(yè)和機(jī)構(gòu)掌握著大量公民隱私信息,一旦遭到網(wǎng)絡(luò)攻擊,便會(huì)造成十分嚴(yán)重的后果。而圍繞等保合規(guī)建設(shè)實(shí)現(xiàn)安全管理體系化,是當(dāng)下中國(guó)企業(yè)全面提升安全防護(hù)能力的必要路徑和契機(jī)。
問(wèn)
為什么要做等級(jí)保護(hù)?
答
法律法規(guī)要求:《網(wǎng)絡(luò)安全法》第二十一條:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
行業(yè)要求:在金融、電力、廣電、醫(yī)療、教育等行業(yè),主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)(APP)要開(kāi)展等級(jí)保護(hù)工作。
企業(yè)系統(tǒng)安全的需求:信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處,可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力,降低被攻擊的風(fēng)險(xiǎn)。簡(jiǎn)單來(lái)說(shuō),《網(wǎng)絡(luò)安全法》一直對(duì)網(wǎng)站、信息系統(tǒng)、APP有等級(jí)保護(hù)要求,中小型企業(yè)通常是行業(yè)要求才意識(shí)到問(wèn)題。
問(wèn)
信息安全等級(jí)保護(hù)測(cè)評(píng)的依據(jù)?
答
依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(公通字[2007]43號(hào))》“等級(jí)保護(hù)的實(shí)施與管理”中的第十四條:信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。
1
第一級(jí):用戶自主保護(hù)級(jí),目前1.0版本不需要去備案(提交材料公安部也會(huì)給備案證明),等保2.0是需要備案的;
2
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí),二級(jí)信息系統(tǒng)為自主檢查或上級(jí)主管部門進(jìn)行檢查,建議時(shí)間為每?jī)赡隀z查一次;
3
第三級(jí):安全標(biāo)記保護(hù)級(jí),三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng);
4
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí),四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng);
5
第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí),五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。
其中三級(jí)等保是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證,屬于“監(jiān)管級(jí)別”,由國(guó)家信息安全監(jiān)管部門進(jìn)行監(jiān)督、檢查。具體程序包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查共五個(gè)階段。認(rèn)證測(cè)評(píng)內(nèi)容分別涵蓋5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求,包含信息保護(hù)、安全審計(jì)、通信保密等近300項(xiàng)要求,共涉及測(cè)評(píng)分類73類,要求十分嚴(yán)格。
對(duì)于企業(yè)來(lái)說(shuō),最常見(jiàn)的誤區(qū)是把等保測(cè)評(píng)當(dāng)成“應(yīng)試”和負(fù)擔(dān)。事實(shí)上等保不是考試,不是為了應(yīng)付,而是通過(guò)等保發(fā)現(xiàn)問(wèn)題、解決問(wèn)題,提高信息系統(tǒng)的安全防護(hù)能力。此外,等保只是網(wǎng)絡(luò)安全的手段而不是目的,是起點(diǎn)而不是終點(diǎn)。與安全能力同步建設(shè)和投資策略匹配的“合規(guī)”,才是高效實(shí)現(xiàn)“持續(xù)安全”和“動(dòng)態(tài)安全”的基礎(chǔ)。