隨著網絡技術的發展,互聯網應用的普及和豐富,“網絡空間”的安全問題也日益嚴重,利用信息技術進行的高科技犯罪事件呈現增長態勢。信息安全等級保護是國家信息安全保障的基本制度,基本策略和基本方法。開展信息安全等級保護工作是保護信息化發展,維護信息安全的根本保障,是信息安全保障工作中國家意志的體現。
志合創偉可以提供全生命周期的等保建設咨詢服務,在建設整改階段,志合創偉除幫助用戶梳理安全管理制度外,還會以《信息系統安全等級保護基本要求》為基本準則,不僅幫助用戶快速有效地完成等級保護建設,滿足合規要求,提升安全建設能力。
一、什么是等保
“等!,即信息安全等級保護,是我國網絡安全領域的基本國策、基本制度。早在2017年8月,公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《信息安全技術 網絡安全等級保護基本要求》一個標準。(GB/T 22239—2019代替 GB/T 22239-2008)該標準于2019年5月10日發布,于2019年12月1日開始實施。
二、為什么要做等保
1、安全標準:信息安全等級保護(簡稱等保)是目前檢驗一個系統安全性的重要標準,是對系統是否滿足相應安全保護的評估方法。
2、法律要求:《網絡安全法》和《信息安全等級保護管理辦法》明確規定網絡運營者應當履行安全保護義務,如果拒不履行,將會受到相應處罰。
3、自我檢查:開展等?蓪ο到y進行一次全面檢測,全面發現系統內部的安全隱患與不足之處。
三、等保包含哪些內容
等保是一個全方位系統安全性標準,不僅僅是程序安全,包括:物理安全、應用安全、通信安全、邊界安全、環境安全、管理安全等方面。
【物理安全】機房物理訪問控制、防火,防雷擊,溫濕度控制、電力供應,電磁防護。
【應用安全】應用具備身份鑒別、訪問控制、安全審計、剩余信息保護、軟件容錯、資源控制和代碼安全。
【通信安全】包括網絡架構,通信傳輸,可信驗證。
【邊界安全】包括邊界防護,訪問控制,入侵防范,惡意代碼防護等。
【環境安全】 入侵防范,惡意代碼防范,身份鑒別,訪問控制,數據完整性、保密性,個人信息保護。
【管理安全】系統管理,審計管理,安全管理,集中管控。
四、等保1.0、2.0有什么區別?
【等保1.0】以1994年國務院頒布的147號令《計算機信息系統安全保護條例》為指導標準,以2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求 》為指導的網絡安全等級保護辦法,業內簡稱等保,即目前的等保 1.0。
【等保2.0】以《中華人民共和國網絡安全法》為法律依據,以2019年5月發布的《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》為指導標準的網絡安全等級保護辦法,業內簡稱等保2.0。
【1.0、2.0的區別】
等保分五個級別,越高安全性越好,其中:
【等保一級】等保一級為“用戶自主保護級”,是等保中最低的級別,該級別無需測評,提交相關申請資料,公安部門審核通過即可。
【等保二級】等保二級為“系統審計保護級”,是目前使用最多的等保方案,所有“信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全!狈秶鷥染W站均可適用,可支持到地級市各機關、事業單位及各類企業的系統應用,比如:網上各類服務的平臺(尤其是涉及到個人信息認證的平臺),市級地方機關、政府網站等等。
【等保三級】等保三級等為“安全標記保護級”,級別更高,支持“信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害!狈秶,適用于“地級市以上的國家機關、企業、事業單位的內部重要信息系統”,比如省級政府官網、銀行官網等等。三級等保也是我們能制作的最高級別等保網站。
【等保四級】等保四級等保適用于國家重要領域、涉及國家安全、國計民生的核心系統,比如中國人民銀行就是目前唯一四級等保的中國央行門戶集群。
【等保五級】等保五級等保是目前我國最高級別,一般應用于國家的機密部門。
六、等保測評流程是怎么樣的?
等保包括五個階段:1、定級、2、備案、3、建設整改、4、等級測評、5、監督檢查。定級對象(即需要過等保的對象)建設整改后,需要選擇符合國家要求的測評機構,按《網絡安全等級保護基本要求》等技術標準進行等級測評,之后向監管單位提交測評報告。
七、等保是法律要求的?
《網絡安全法》和《信息安全等級保護管理辦法》明確規定應履行安全保護義務,如果拒不履行,將會受到相應處罰。
以下節選自《中華人民共和國網絡安全法》:
第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改
第三十八條:關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
志合創偉是一家云計算方案解決服務商,專注于提供大數據分析、云計算、企業私有云、信息安全及咨詢、容災備份解決方案。為您提供專業的IT技術服務,我們期待與您更進一步。
銷售熱線:83583359
技術支持:83583356