咨询服务热线

400-6446-808

解决方案
您的当前位置:首页 > 解决方案
创信华通|等保内容解析
发布者:创信华通  发布时间:2022-04-20  浏览量:796次
导读 



2017年6月1日,《中华人民共和国网络安全法》的正式实施,拉开了等级保护2.0的序幕。

《中华人民共和国网络安全法》为网络安全等级保护赋予了新的含义,重新调整和修订了等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。


图片


等级保护





网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输,处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。



等保2.0





随着网络安全形势日益严峻,“等保1.0”体系逐渐难以持续应对不容乐观的网络安全新时代,于是“等保2.0”体系应运而生。

2017年,《网络安全法》首次提出“网络安全等级保护制度”的概念,并明确相关具体要求。

2018年,《网络安全等级保护条例(征求意见稿)》提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”,并阐述了相关工作原则、网络等级、技术要求等内容。

2019年,若干国家标准陆续出台,推动了安全等级保护制度的建设。

由此可见,自2017年《网络安全法》生效以来,围绕网络安全等级保护为核心的一系列法律法规及国家标准,共同组成并开启了“等保2.0”体系。


图片


进入2.0时代,原“信息安全等级保护制度”,变更为“网络安全等级保护制度”。从整个网络空间的角度来看,信息系统只是其中的一小部分,由“信息”到“网络”,意味着等级保护的对象已全面升级,不拘泥于过去狭义的的信息系统层面,而是拓展到了整个网络空间的安全保护。许多新兴的业务环境,诸如网络安全基础设施、云计算平台/系统、云计算、物联网、工业控制系统、大数据平台/系统等,都被保2.0时代纳入了管理的体系之中,并为其提供安全建设标准和指导。



等保测评




1、等保测评概念

根据国家等级保护相关政策、法律法规、等级保护工作的相关标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等网络安全监管部门进行网络安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。

2、等保工作流程

定级,备案,建设整改,等级测评,监督检查


图片

3、等保级别划分

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。


图片

4、系统备案由谁受理

按照有关规定,

①县市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。

②隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。

③隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。

④跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

5、等保测评由谁来做?

要找具有网络安全等级保护测评资质的测评公司去开展,该单位至少具有国家网络安全等级保护工作协调小组办公室推荐的《网络安全等级保护测评机构推荐证书》,同时部分省份要求测评机构在客户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。

6、为什么要做等保

①不做等保可能面临的风险:
《中华人民共和国网络安全法》第五十九条规定,网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
②通过等保测评的好处:
降低网络安全风险,提高安全防护能力;
合理规避,降低审查风险;
满足法律政策合规,符合主管部门要求;
提升人员安全意识和运维管理水平。

图片


图片