等保的全称是信息安全等级保护,是《网络安全法》规定的必须强制执行的,保障公民、社会、国家利益的重要工作。以下是一些有关等保的基本知识,希望通过这些知识能让大家更深刻地认识到等级保护的重要性。
等级保护定义
- 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护;对信息系统按业务安全应用域和区实行分级保护。
- 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
- 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
- 等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
开展等保工作目的
- 合规性要求:等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《中华人民共和国网络安全法》和《网络安全等级保护管理办法》;
- 行业准入:越来越多的行业,主管/监管单位明确要求企业开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育、物流等行业,等保为准入门槛之一;
- 规避网络安全风险:互联网的发展同步带来网络安全事故频发,通过等级保护工作发现企业本身信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,避免信息系统核心数据丢失,及因此而带来直接或者间接的经济损失,维持企业良好的形象。
等级保护流程
- 第一步:系统定级。对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
- 第二步:系统备案。持定级报告和备案表到当地公安网监进行备案,全云在线提供备案指引服务、辅导用户准备材料、完成备案。
- 第三步:建设整改。参照定级要求和标准,对信息系统整改加固,全云在线可以辅导用户进行系统的安全加固,协助用户建设安全管理体系,提供符合等保合规需求的安全产品。
- 第四步:等级测评。测评机构对信息系统等级测评,形成测评报告,全云在线提供等保测评服务,提供阿里云平台的合规资质证明,辅导用户测评整改,整改后,测评机构对系统等级符合性状况进行测评,出具测评报告。
- 第五步:合规监督检查。向当地公安网监提交测评报告,用户配合完成检查,全云在线将协助客户检查和整改,最后,公安机关监督检查进行等级保护工作。其中“系统定级”又分为五个等级,五个等级为:自主保护(1级)、指导保护(2级)、监督保护(3级)、强制保护(4级)、专控保护(5级)。
定级的要素: 受到侵害后,对受侵害客体的侵害程度。
受侵害的客体分为三类: 公民、法人、其他组织等;公共秩序、公共利益;国家安全。
- 第一级:用户自主保护。无需备案,对测评周期无要求
- 第二级:指导保护级。公安部门备案,建议两年测评一次
- 第三级:监督保护级。公安部门备案,要求每年测评一次
- 第四级:强制保护级。公安部门备案,要求半年一次
- 第五级:强制保护级。公安部门备案,依据特殊安全需求进行
- 侵害程度分类:
- 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
- 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成比较严重损害。
- 特别严重损害:工作职能受到严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
等保的意义
- 降低信息安全风险,提高信息系统的安全防护能力
- 满足国家相关法律法规和制度的要求
- 满足相关主管单位和行业要求
- 合理地规避或降低风险。