初识——信息安全等级保护

初识——信息安全等级保护

whoim_i 2020-04-04 17:07:35  830  收藏 3

分类专栏： 信息安全等级保护

版权

目录

• 什么叫信息安全等级保护？
• 为什么要做等级保护？
• 等级保护需要做哪些工作？
• 等级保护的对象
• 等级的划分
• 等级保护主要的参考标准

        ~~~~~~~~        因为想要面对一个新的开始，一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些，就不叫新的开始，而叫逃亡。 ​​​​
                                                                                               ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                                                                                ————玛丽亚·杜埃尼亚斯

什么叫信息安全等级保护？

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

为什么要做等级保护？

政策要求：满足国家、行业主管部门（公安、网信办、经信委、通管局等）关于信息安全保障的监管要求，不做等保不好向上级单位，主管部门交代。

法律、法规要求：《中华人民共和国网络安全法》第21条，38条，59条明确了等保的必要性和重要性，网络安全保障不力需要运营单位和个人承担的责任和相应处罚措施。不做等保工作就违法了？！

业务安全保障需求：核心系统遭到破坏，造成系统宕机、核心数据泄露等问题，将会对社会秩序、经济利益和公共利益造成严重损害。通过等保工作发现问题并经过整改后，有效提高系统安全防护能力。等保是国家认可的基本的安全保障措施

网络安全法第21条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
解读：21条是等级保护工作的鲜明旗帜，是从国家层面对等级保护工作的法律认可，是网络安全法关于等级保护工作最重要的一条，简单来说，单位不做等级保护工作就是违法。

网络安全法第38条
关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施保送相关负责关键信息基础设施安全保护工作的部门。
解读：明确了关键信息基础设施单位需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估，等保评估就是对单位重要信息系统做的安全检测评估，做了等保评估就满足38条的要求了。

网络安全法第59条
网络运营者不履行本法第21条、第25条规定的网络安全保护义务的，关键基础设施运营者不履行本法第33条、第34条、第36条、第38条规定的网络安全保护义务的，由有关主管部门责任改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万以上100万以下罚款，对直接负责的主管人员处1万元以上10万以下罚款。
解读：用户单位不重视等级保护，且不做等级保护工作的，单位需要被罚款1万-100万；主管责任人员需要被罚款5000-10万元。

等级保护需要做哪些工作？

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
其中信息系统安全测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。

等级保护的对象

等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网 CIoT) 、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、 社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

等级的划分

根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第一级（自主保护）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。依据国家有关管理规范和技术标准进行保护。

第二级（指导保护）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级（监督保护）

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级（强制保护）

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级（专控保护）

信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

等级保护主要的参考标准

基础标准：
《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。

安全要求：
《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范

系统定级：
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则

方法指导：
《信息系统安全等级保护实施指南》
《信息系统等级保护安全设计技术要求》

现状分析：
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》