什麽叫:網絡安全等級保護?
編輯:2023-04-23 15:13:27
一(yī)、什麽是等保
“等保”,即信息安全等級保護,是我(wǒ)國網絡安全領域的基本國策、基本制度。早在2017年8月,公安部評估中(zhōng)心就根據網信辦和信安标委的意見将等級保護在編的5個基本要求分(fēn)冊标準進行了合并形成《信息安全技術 網絡安全等級保護基本要求》一(yī)個标準。(GB/T 22239—2019代替 GB/T 22239-2008)該标準于2019年5月10日發布,于2019年12月1日開(kāi)始實施。
二、爲什麽要做等保
1、安全标準:信息安全等級保護(簡稱等保)是目前檢驗一(yī)個系統安全性的重要标準,是對系統是否滿足相應安全保護的評估方法。
2、法律要求:《網絡安全法》和《信息安全等級保護管理辦法》明确規定網絡運營者應當履行安全保護義務,如果拒不履行,将會受到相應處罰。
3、自我(wǒ)檢查:開(kāi)展等保可對系統進行一(yī)次******檢測,******發現系統内部的安全隐患與不足之處。
三、等保包含哪些内容
等保是一(yī)個*********系統安全性标準,不僅僅是程序安全,包括:物(wù)理安全、應用安全、通信安全、邊界安全、環境安全、管理安全等方面。
【物(wù)理安全】機房物(wù)理訪問控制、防火(huǒ),防雷擊,溫濕度控制、電(diàn)力供應,電(diàn)磁防護。
【應用安全】應用具備身份鑒别、訪問控制、安全審計、剩餘信息保護、軟件容錯、資(zī)源控制和代碼安全。
【通信安全】包括網絡架構,通信傳輸,可信驗證。
【邊界安全】包括邊界防護,訪問控制,入侵防範,惡意代碼防護等。
【環境安全】 入侵防範,惡意代碼防範,身份鑒别,訪問控制,數據完整性、保密性,個人信息保護。
【管理安全】系統管理,審計管理,安全管理,集中(zhōng)管控。
四、等保1.0、2.0有什麽區别?
【等保1.0】以1994年國務院頒布的147号令《計算機信息系統安全保護條例》爲指導标準,以2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求 》爲指導的網絡安全等級保護辦法,業内簡稱等保,即目前的等保 1.0。
【等保2.0】以《中(zhōng)華人民共和國網絡安全法》爲法律依據,以2019年5月發布的《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》爲指導标準的網絡安全等級保護辦法,業内簡稱等保2.0。
【1.0、2.0的區别】
等保2.0提出新的技術要求和管理要求,強調“一(yī)個中(zhōng)心,三重防護”,關鍵點包括可信技術、安全管理中(zhōng)心,以及雲計算、物(wù)聯網等新興領域的安全擴展要求。對應地,企業在安全防護體(tǐ)系建設、風險評估和管理上需要更加******,并需關注所在行業的安全要求和定級标準。
五、等保分(fēn)幾個級别?
等保分(fēn)五個級别,越高安全性越好,其中(zhōng):
【等保一(yī)級】等保一(yī)級爲“用戶自主保護級”,是等保中(zhōng)******的級别,該級别無需測評,提交相關申請資(zī)料,公安部門審核通過即可。
【等保二級】等保二級爲“系統審計保護級”,是目前使用***多的等保方案,所有“信息系統受到破壞後,會對公民、法人和其他組織的合法權益産生(shēng)嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。”範圍内網站均可适用,可支持到地級市各機關、事業單位及各類企業的系統應用,比如:網上各類服務的平台(尤其是涉及到個人信息認證的平台),市級地方機關、政府網站等等。
【等保三級】等保三級等爲“安全标記保護級”,級别更高,支持“信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。”範圍,适用于“地級市以上的國家機關、企業、事業單位的内部重要信息系統”,比如省級政府官網、銀行官網等等。三級等保也是我(wǒ)們能制作的*********别等保網站。
【等保四級】等保四級等保适用于國家重要領域、涉及國家安全、國計民生(shēng)的核心系統,比如中(zhōng)國人民銀行就是目前******四級等保的中(zhōng)國央行門戶集群。
【等保五級】等保五級等保是目前我(wǒ)國*********别,一(yī)般應用于國家的機密部門。
六、等保測評流程是怎麽樣的?
等保包括五個階段:1、定級、2、備案、3、建設整改、4、等級測評、5、監督檢查。定級對象(即需要過等保的對象)建設整改後,需要選擇符合國家要求的測評機構,按《網絡安全等級保護基本要求》等技術标準進行等級測評,之後向監管單位提交測評報告。
七、等保是法律要求的?
《網絡安全法》和《信息安全等級保護管理辦法》明确規定信應履行安全保護義務,如果拒不履行,将會受到相應處罰。
以下(xià)節選自《中(zhōng)華人民共和國網絡安全法》:
第二十一(yī)條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改
第三十八條:關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一(yī)次檢測評估,并将檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工(gōng)作的部門。
第五十九條:網絡運營者不履行本法第二十一(yī)條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處一(yī)萬元以上十萬元以下(xià)罰款,對直接負責的主管人員(yuán)處五千元以上五萬元以下(xià)罰款。 關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上一(yī)百萬元以下(xià)罰款,對直接負責的主管人員(yuán)處一(yī)萬元以上十萬元以下(xià)罰款。
來源:老李講安全
咨詢熱線:0351-4073466
地址:(北(běi)區)山西省太原市迎澤區新建南(nán)路文源巷24号文源公務中(zhōng)心5層
(南(nán)區)太原市小(xiǎo)店(diàn)區南(nán)中(zhōng)環街529 号清控創新基地A座4層