近年来,随着网络技术的发展和互联网应用的兴起和完善,网络安全问题越来越严重,使用信息技术进行的高科技犯罪呈现出增长趋势。信息网络系统对整个安全系统的建设要求逐年增加。因此,实施网络安全等级保护迫在眉睫!《网络安全法》、《信息安全等级保护管理条例》等法律法规相继出台实施,也对实施等级保护评估提出了要求。
企业如果想要了解等保具体费用多少?可以先通过报价工具测算大概费用,可查看“纯测评”或“一站式全包”费用:
等保价格计算器:https://offer.cloudallonline.com/?re
前言
什么是等级保护评估?
为何进行等级保护评估?
等保1.0和2.0有什么不同?
等级保护评估的参考标准是什么?
等级保护评估的等级有哪些,需要哪些系统?
等保评估的主要内容是什么?
等级保护评估的工作流程是怎样的?
什么是等级保护评估?
等级保护评估的全称是信息安全等级保护评估,是经公安部认证的合格评估机构。根据国家信息安全等级保护规范,受有关单位委托,按照相关管理规范和标准,对信息系统安全等级保护进行检验鉴定的活动。
为何进行等级保护评估?
《网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营商应当按照网络安全等级保护制度的要求,履行以下安全保护责任,确保网络免受影响、破坏或者未经授权浏览,防止网络数据泄露或者被盗或者篡改。
第三十一条 在网络安全等级保护制度的基础上,国家重点保护公共通信和数据服务、能源、交通、水利、金融、公共服务、电子政务等关键市场和行业,以及其他可能严重危害国家安全、国计民生、集体利益的关键信息基础设施。
第五十九条 如果网络运营商不履行本法第二十一条和第二十五条规定的网络安全保护义务,相关主管部门将责令改正并给予警告;拒不改正或者造成网络安全危害的,处以1万元以上10万元以下罚款,对直接负责的主管处以5000元以上5万元以下罚款。
《中华人民共和国计算机信息系统安全保护条例》
第九条计算机信息系统实行安全等级保护。公安部会同有关部门制定安全等级划分标准和安全等级保护的具体措施。
信息安全等级保护管理条例
第二条根据统一的信息安全等级保护管理规范和标准规范,我国组织公民、法人等组织对信息系统进行安全保护,对等级保护的实施进行监督管理。
第十四条三级以上网络的运营商应当每年进行一次网络安全等级评估。教育行业要求二级信息系统每两年进行一次评估,三级以上网络的运营商每年进行一次评估。
《关于加强信息安全保障的国家信息化领导小组意见》
国家电子政务工程建设项目(以下简称电子政务项目),如国家电子政务网络、关键业务信息系统、基本数据库及相关支持系统,应当进行信息安全风险评估。
等保1.0和2.0有什么不同?
等保1.0:公安部于2007年6月发布了《信息安全等级保护管理条例》(公通字[2007]43号),意味着等级保护1.0正式启动。
等保2.0:国家市场监督管理总局、国家标准化管理委员会于2019年5月13日发布了《信息安全技术网络安全等级维护基本原则》(GB信息安全技术网络安全等级维护安全设计技术标准/T22239-2019(GB信息安全技术网络安全等级保护评估规定/T25070-2019(GB网络安全三个领域的国家标准(从2019年12月1日起实施)/T28448-2019),标志着我国进入了等级保护2.0时代。
二者差别:
照片
等级保护评估的参考标准是什么?
信息技术网络安全等级保护定级指南(GB/T22240-2020)
信息安全技术网络安全等级维护实施指南(GB/T25058-2019)
信息安全技术网络安全等级保护评估规定(GB/T28448-2019)
信息安全技术网络安全等级维护的基本原则(GB/T22239-2019)
信息安全技术网络安全等级维护安全设计技术标准(GB/T25070-2019)
《信息安全技术网络安全等级保护评估组织能力要求及评估规范》(GB/T36959-2018)
信息安全技术网络安全等级维护安全管理中心技术标准(GB/T28449-2018)
信息安全技术网络安全等级保护评估流程指南(GB/T28449-2018)
实施电力信息系统安全等级保护指南(GB/T37138-2018)
信息安全技术网络安全等级保护评估技术指南(GB/T36627-2018)
《公安网络系统信息安全等级保护条例》(GB/T35317-2017)
PKI系统安全等级保护技术标准信息安全技术公钥基础设施(GB/T21053-2007)
信息安全技术公钥基础设施PKI系统安全等级保护评估标准(GB/T21054-2007)
等级保护评估的等级有哪些,需要哪些系统?
等级保险评估等级分为五个等级:等级保险一级、等级保险二级、等级保险三级、等级保险四级和等级保险五级。
一级:会对公民、法人和其他组织的合法权利造成危害,但不会损害国防安全、公共秩序和集体利益。
二级:会严重影响公民、法人等组织的合法权利,或者危害公共秩序和集体利益,但不会损害国防安全。
第三级:将严重影响公共秩序和集体利益,或对国防安全造成危害。
四级:会对公共秩序和集体利益产生特别严重的影响,或对国防安全产生严重影响。
五级:会对国防安全造成特别严重的影响。
照片
党建系统
政府和政府机关内部使用政府内部网络系统或一些机密内部网络系统。
金融系统
金融系统:银行、保险、证券等内部系统。
财税系统
财务、税收、工商等财务信息系统。
经贸系统
具有经济功能的经济贸易、海关等物流交易系统。
电信系统
电子邮件,电信,广播,电视等系统。
能源供应
操作系统包括电力、热力、气体、煤炭和燃料。
运输系统
内部使用的操作系统,如航空、航天、铁路、道路、船舶、海运等。
供水设备
水利和水源供应的保障体系。
社会紧急服务系统
诊断、消防、紧急救助管理系统。
互联网业务
汽车联网,网络金融,电子商务,游戏,酒店,直播,网络医疗,物联网,网络教育,物流等等。
等保评估的主要内容是什么?
物理安全:包括物理位置的选择、物理密钥的管理和防盗、防火、防潮、防雷、温湿度控制、电力供应、抗静电和电磁保护。
网络安全:包括结构安全、安全审计、密钥管理、界限完整性检查、恶意程序预防、侵略预防和网络设备保护。三级规定的关键改进点:结构安全扩展到可靠的技术保护关键网段,改善网络边界中恶意程序的检测和清除;安全审计提高审计数据分析保护,生成审计表格;密钥管理扩展到对进出网络信息内容的过度担忧。
主机安全:包括身份识别、密钥管理、安全审计、侵略预防、恶意程序预防和资源控制等。三级规定的关键改进点:身份识别需要选择组合识别技术来管理客户。
应用安全:包括身份识别、密钥管理、安全审计、通信完整性、通信保密性、抗赖账性、软件容错性和资源控制等。三级规定的关键改进点:身份识别规定的组合识别技术;密钥管理和安全审计基本上与主机安全改进规定相同;通信过程中的整个报告或对话过程都需要加密。
数据安全:包括数据的完整性和保密性,以及数据的备份和恢复。三级规定的关键改进点:在存储过程和传输过程中检查和恢复系统管理数据、识别信息和关键业务数据的完整性,选择加密或其他有效措施完成上述传输数据和存储的保密性;提供国外数据备份等。
以及安全制度、安全管理机构、安全管理人员、安全建设管理、安全运行管理等其他管理规范。
等级保护评估的工作流程是怎样的?
等级保护评估的工作流程是系统定级➡系统备案➡整改安全建设➡等级测评➡监督管理。
系统定级
根据等级保护管理办法和定级指南,信息系统运营用户独立确定信息系统的安全保护等级。《信息系统安全等级保护定级指南》包含相关表明,评估等级分为五个等级,这五个等级是根据等级保护目标在受损时受损的对象和对对象造成的损害等级来区分的。
照片
系统备案
按需第二级以上信息系统定级企业到所在地市级以上公安部门办理备案手续。
整改安全建设
确认信息系统安全保护等级后,经营用户根据管理规范和标准,选择管理规定要求的信息安全产品,建设符合等级要求的信息安全设备,建立安全组织,制定和实施安全制度。
等级测评
信息系统建设完成后,运营用户选择符合管理规定要求的检测中心,对信息系统的安全水平进行评估。评估完成后,根据发现的安全问题及时实施整改,尤其是高风险。评估的观点分为:不一致、基本一致、一致。
监督管理
根据信息安全等级保护管理规范和《网络安全法》相关条款,公安部门监督管理用户进行等级保护,定期对信息系统进行安全检查。业务应用单位应当接受公安部门的安全监督、检查和指导,并向公安机关提供相关材料。
热门跟贴