之前回答了一個關(guān)于等級保護測評的問題�����,有學網(wǎng)絡(luò)安全的學生私信我關(guān)于等保測評和等保測評師的問題�����?�?磥磉@個職業(yè)很小眾啊����,來科普一下����。國家對網(wǎng)絡(luò)安全越來越重視���,計算機的畢業(yè)生可以考慮進入網(wǎng)安行業(yè)����。
一、 什么是等級保護
等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作���,指對國家重要信息�、法人和其他組織及公民的專有信息以及公開信息和存儲���、傳輸�����、處理這些信息的信息系統(tǒng)分等級實行安全保護���,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)��、處置���。
簡單言之��,就是將全國的信息系統(tǒng)(包括網(wǎng)絡(luò))按照重要性和受破壞后的危害性分成五個安全保護等級(從級到第五級逐級增高)��,定級后第二級以上信息系統(tǒng)到公安機關(guān)備案���,公安機關(guān)對備案材料審核合格后頒發(fā)備案證明�;各單位各部門根據(jù)系統(tǒng)等級按照國家標準進行安全建設(shè)整改備案單位聘請符合國家規(guī)定的等級測評機構(gòu)進行等級測評����。公安機關(guān)對第二級及以上信息系統(tǒng)定期開展監(jiān)督、檢查�����。
二��、 為什么需要開展等級保護工作
等級保護是我們國家的基本網(wǎng)絡(luò)安全制度�、基本國策,也是一套完整和完善的網(wǎng)絡(luò)安全管理體系�。遵循等級保護相關(guān)標準開始安全建設(shè)是目前企事業(yè)單位的普遍要求,也是國家關(guān)鍵信息基礎(chǔ)措施保護的基本要求����。
網(wǎng)絡(luò)安全等級保護為信息系統(tǒng)、云計算��、移動互聯(lián)���、物聯(lián)網(wǎng)����、工業(yè)控制系統(tǒng)等定級對象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性���、針對性��、可行性的指導(dǎo)和服務(wù)�,幫助用戶提供定級對象的安全防護能力���。此外�,《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度”
做好等級保護工作可以實現(xiàn):
三��、 等級保護法律法規(guī)及政策制定進程
1994年
1994年國務(wù)院頒布的 《中華人民共和國計算機信息系統(tǒng)安全保護條例》 規(guī)定�,“計算機信息系統(tǒng)實行安全等級保護安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關(guān)部門制定”�。
2003年
2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27 號)明確指出��,“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全�����、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)��,抓緊建立信息安全等級保護制度��,制定信息安全等級保護的管理辦法和技術(shù)指南”���。明確指出將等級保護制度作為我國信息安全領(lǐng)域的一項基本制度 �����。
2007年
2007年 6 月�����,公安部�、國家保密局����、國家密碼管理局、國務(wù)院信息化工作辦公室制定了 《信息安全等級保護管理辦法》(簡稱《管理辦法》)明確了信息安全等級保護的具體要求���。
2016年
2016年 11 月 7 日全國人民代表大會常務(wù)委員頒布會 《 中華人民共和國網(wǎng)絡(luò)安全法 》 2017 年 6 月 1 日實施 ���,網(wǎng)絡(luò)安全法規(guī)定����, 國家實行網(wǎng)絡(luò)安全等級保護制度�,網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護履行保護義務(wù) �����。
2017年
2017年 7 月 10 日國家互聯(lián)網(wǎng)信息辦公室起草《 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿) 》�����。
2018年
2018年 6 月 27 日 公安部會同有關(guān)部門起草了 《 網(wǎng)絡(luò)安全等級保護條例 征求意見稿 》�����。
四����、 等級保護工作具體包含哪些內(nèi)容?
根據(jù)信息系統(tǒng)等級保護相關(guān)標準�����,等級保護工作總共分五個階段,分別為:1)是信息系統(tǒng)定級���。2)是信息系統(tǒng)備案�。3)是系統(tǒng)安全建設(shè)��。4)是信息系統(tǒng)開始等級測評����。5)主管單位定期開展監(jiān)督檢查。
一)如何進行信息系統(tǒng)的定級備案
常用方式:各地級市的單位將定級資料交給各自地級市的網(wǎng)技支隊��,省級單位將資料交給省公安網(wǎng)安總隊�����,特定行業(yè)有要求的另說���,比如鐵路行業(yè)交給管轄范圍的鐵路公安��,也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊����,再由區(qū)縣網(wǎng)安大隊轉(zhuǎn)交地級市網(wǎng)安支隊進行備案��。
二)等級保護測評
等級保護測評(以下簡稱“等保測評”)指的是用戶單位委托第三方有測評資質(zhì)的測評機構(gòu)對單位已定級備案的信息系統(tǒng)開展安全測試的過程,測試結(jié)束后出具相應(yīng)的信息系統(tǒng)測評報告��。
三)誰能做做等保測評�?
1、 具有該省市信息安全等級保護協(xié)調(diào)小組辦公室發(fā)放的《信息安全等級保護測評機構(gòu)推薦證書》����;
2�、 測評機構(gòu)在用戶單位所在地級市公安網(wǎng)安部門備案。
四) 等保測評怎么樣才算合格����?
