安徽等保測評:帶您了解等級保護(hù)2.0
什么是等級保護(hù)?
是我國實(shí)施信息安全管理的一項(xiàng)法定制度。根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度;遭到破壞后的危害程度,將信息系統(tǒng)劃分為不同的安全保護(hù)等級并對其實(shí)施不同的保護(hù)和監(jiān)管;從1994年147號令、2003年27號文件、2004年66號文件都明確規(guī)定信息系統(tǒng)安全實(shí)施等級化保護(hù)和等級化管理。
等級保護(hù)的實(shí)行范圍?
等級保護(hù)涉及所有行業(yè),除家庭自用的無線網(wǎng)外,只要有信息系統(tǒng)的單位都在等級保護(hù)覆蓋范圍(涉密系統(tǒng)除外)。
等級保護(hù)的主管部門是誰?
公安機(jī)關(guān)是等級保護(hù)工作的主管部門,負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo);國家保密工作部門、國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo),國信辦及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作部門間的協(xié)調(diào)。
我們是否需要做等保,該怎么做?
單位存在辦公網(wǎng)絡(luò)、應(yīng)用及系統(tǒng)的都需要開展等級保護(hù)工作。
等級保護(hù)開展的流程如下:
(1) 定級(明確定級對象,確定被定級對象對客體的侵害程度,確定業(yè)務(wù)系統(tǒng)的安全保護(hù)等級,專家評審確定定級級別,主管部門批準(zhǔn))
(2) 備案(二級以上系統(tǒng)到縣級以上公安機(jī)關(guān)辦理備案手續(xù))
(3) 建設(shè)整改(依據(jù)等級保護(hù)相應(yīng)級別要求,開展安全建設(shè))
(4) 等級測評(開展等級測評工作,就安全建設(shè)情況進(jìn)行評測)
(5) 業(yè)務(wù)運(yùn)行、運(yùn)維(測評合格,則由單位運(yùn)維人員開展安全運(yùn)維工作)
為什么需要備案?
備案是實(shí)施國家監(jiān)督、網(wǎng)絡(luò)安全檢查和安全問責(zé)的需要。通過備案可以是國家網(wǎng)絡(luò)安全管理部門知曉信息系統(tǒng)在哪里?由何人運(yùn)營著?何等重要程度的信息系統(tǒng),為國家風(fēng)險(xiǎn)管理提供了詳實(shí)的基礎(chǔ)數(shù)據(jù)。只有摸清底數(shù)才能為國家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控奠定基礎(chǔ)。
為什么要進(jìn)行測評?
等級測評是依據(jù)安全保護(hù)的等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn),采用特定的方法對所采用的安全技術(shù)和管理控制措施實(shí)現(xiàn)的有效性進(jìn)行驗(yàn)證的過程。
能夠?yàn)檫\(yùn)營使用單位發(fā)現(xiàn)系統(tǒng)漏洞和存在的安全隱患,還可全面揭示風(fēng)險(xiǎn)并提出整改意見。
等級保護(hù)2.0相對于等級保護(hù)1.0有哪些主要變化?
(1) 名稱變化:《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》變?yōu)椤缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》,由信息系統(tǒng)概念上升至網(wǎng)絡(luò)空間概念。
(2) 定級對象變化:由1.0的“信息系統(tǒng)”變?yōu)椤?/span>信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)”等。
(3) 安全要求變化:由“安全通用要求”變?yōu)椤?/span>安全通用要求+安全擴(kuò)展要求”,必須同時(shí)滿足安全通用要求和擴(kuò)展要求才可符合。
(4) 控制措施分類結(jié)構(gòu)變化:由“(物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù))+管理”變?yōu)椤埃ㄎ锢憝h(huán)境、一中心三防護(hù))+管理”。
(5) 內(nèi)容變化:由“1.0規(guī)定的5個(gè)動(dòng)作”變?yōu)椤?.0規(guī)定的5個(gè)動(dòng)作+新的安全要求”;新的安全要求包括:風(fēng)險(xiǎn)評估、安全監(jiān)測、通報(bào)預(yù)警、事件調(diào)查、數(shù)據(jù)防護(hù)、災(zāi)難備份、應(yīng)急處置、自主可控、供應(yīng)鏈安全、效果評價(jià)、綜治考核等這些與網(wǎng)絡(luò)安全密切相關(guān)的措施都將全部由等級保護(hù)制度實(shí)行。