您的位置 首页 > 数码极客

分保如何确定等级

近来,网络安全这个话题炽手可热,身处互联网行业的相关人士应该深有体会。其中,关于安全标准这方面,热度最高的应该算是"等保"了。

初识等保

"等保",即网络安全等级保护,是我国网络安全领域的基本国策、基本制度。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。( GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布,于2019年12月1日开始实施。

这份标准呢,也就是近期为人所熟知的等保2.0,而等保1.0则为原标准《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-2008)。等保2.0在1.0时代标准的基础上,更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保1.0

在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。

等保1.0普及了等保的概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。

等保分级

除演进过程之外,老生常谈就是几级几级等保要求了。等保根据系统重要程度和被破坏后的危害程度,划分为5个等级:一般称为等保一级到五级,从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

等保一级,安全性太低,没人做;等保五级安全性太高,一般涉密,执行分保。所以在做的等保项目都是二级、三级和四级。

等保二级:县级单位,比如区县医院,学校等;

等保四级:金融、军工、电力等高安全单位;

等保三级:除去二级和四级,三级最多。

《网络安全等级保护基本要求》的附录A为规范性附录,就定级标准的选择和使用做了组合说明。

简单的对应关系如下:

通过等保验收之后,国家公安部会发放《信息系统安全等级保护备案证明》。而相关的处罚措施在《网络安全法》第五十九条中有相关规定:

网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

划重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。

安全通用要求

等保2.0的安全通用要求分类如下:

技术要求部分:安全物理环境、安全通信网络、安全区域边界、安全计算环境;

管理要求部分:安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

和等保1.0标准相比,总体变化不大,等保2.0对要求做了较大幅度的精简。

等保2.0的最大变化是,除了安全通用要求外,还增加了扩展要求,涉及云计算安全、移动互联安全、物联网、工控安全、大数据安全。

等保2.0的内容架构

等级保护五步曲

  等保官方规定了五个步骤:系统定级、备案、建设整改、等级评测、监督检查。

  ❶ 系统定级: 确定建设几级等保,常规三级;

  ❷ 备案:二级以上需要到公安机关备案(也就是到公安网安备案。等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格);

  ❸ 建设整改:根据等保标准,进行安全建设改造(比如漏洞系统扫出哪些漏洞,需要打补丁或升级;边界需要部署防火墙,IPS等,这些是发现问题,解决问题的过程。有钱的单位问题解决得彻底些,缺钱的解决部分也行,毕竟过等保满不用拿满分);

  ❹ 等级评测:具备评测资格的等保评测机构进行评测,评测条目非常细,参考《等保三级基线要求判分标准》。(相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。不过得几分还是评测机构说了算);

  ❺ 监督检查:公安网安部门可以定期抽查,这就是定期查水表,很好理解。

规范文档资料建设

对于信息安全管理,一般建议单位制定一些相关文档,下面简单列区部分名称,可以简单参考:

网站管理办法、

网络信息安全应急管理标准、

计算机终端及外设运行维护管理办法、

重要事件请示审批流程、

OA系统用户帐号与邮件管理规定、

信息安全应急预案管理办法、

办公计算机操作及联网管理规定、

安全检查及审计制度、

操作系统及数据库运行安全管理办法、

数据库运行管理规范、

软件开发与维护管理标准、

信息安全策略纲要、

互联网上网行为管理办法、

信息安全管理制度制定与发布管理办法、

信息系统补丁管理制度、

办公自动化系统管理标准、

安全管理制度、

安全管理组织机构及岗位职责、

数据中心机房运行维护手册、

计算机病毒防治管理办法、

人员安全管理制度、

安全管理机构、

教育培训制度

责任编辑: 鲁达

1.内容基于多重复合算法人工智能语言模型创作,旨在以深度学习研究为目的传播信息知识,内容观点与本网站无关,反馈举报请
2.仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证;
3.本站属于非营利性站点无毒无广告,请读者放心使用!

“分保如何确定等级”边界阅读