作為國家網(wǎng)絡安全等級保護標準體系的核心標準之一�,《信息安全技術 信息系統(tǒng)安全等級保護頂 級指南》規(guī)定了定級的原理與方法���,指導信息系統(tǒng)的運營�、使用單位如何開展等級保護工作�。
1. 誰需要等級保護
2.等級保護的五個級別
國家發(fā)布實施的《計算機信息系統(tǒng)安全保護等級劃分準則》中將安全等級劃分為五個級別:第 一級:用戶自主保護級�����;第二級:系統(tǒng)審計保護級��;第三級:安全標記保護級�;第四級:結構化保護級;第五級:訪問驗證保護級��。
安全能力從第 一級到第五級逐漸增強�����。各部門����、各單位應當依照等級保護實施指南及相關標準�,根據(jù)實際安全需求,按照等級的確定原則����,要求和方法,確定本部門��、本單位所屬信息系統(tǒng)的安全保護等級��,制定各自的安全等級保護解決方案��,組織對現(xiàn)有信息系統(tǒng)進行加固改造����,逐步開展新建系統(tǒng)的安全等級保護工作���。
3. 定級流程有哪些
整體來說一共有五個步驟,包括了:
Step1:系統(tǒng)定級����。需要過等保的運營單位要確定好定級對象,確定要過的系統(tǒng)等級��,尋找當?shù)毓舱J可的評測機構一起編寫定級報告�。如果確定需要通過三級等保,則還需要組織專家評審��。
Step2:系統(tǒng)備案���。系統(tǒng)投入運行的30日內(nèi)由其運營����、使用單位到當?shù)毓矙C關網(wǎng)監(jiān)部門辦理備案手續(xù)�。可以讓評測機構輔導進行材料的準備和備案����。
Step3:差距分析�。評測機構根據(jù)確定的等級和《網(wǎng)絡安全等級保護基本要求》對信息系統(tǒng)進行差距對比分析�,告知運營單位需要對信息系統(tǒng)及自身管理進行哪些整改。運營單位按照整改要求進行安全建設和整改��。建設整改的時間有3個月����,一般根據(jù)系統(tǒng)的規(guī)模和復雜程度決定整改的時間,短的一周可以完成���,長的3個月左右。
Step4:等級測評���。運營使用單位提供符合等級保護要求的建設和整改完成的證據(jù)�。由評測機構對系統(tǒng)等級符合情況進行等級評測并出具評測報告�。評測結束后將評測報告提交給公安機關部門進行保存,完成等級評測�。
Step5:監(jiān)督檢查。定級為二級的系統(tǒng)評測當年復查一次即可�����。定級為三級的系統(tǒng)需要每年進行評測檢查,由評測機構出具評測報告并由運營使用單位提交給公安機關�����。定級為四級的系統(tǒng)需要每半年進行評測檢查����,由評測機構出具評測報告并由運營使用單位提交給公安機關。
4. 系統(tǒng)建設�����、整改包含哪些內(nèi)容
落實信息安全的管理制度和技術和系統(tǒng)上的信息安全措施�����。此階段主要分為管理整改和技術整改���。管理整改主要涉及:
管理整改主要包括:
明確主管領導���,和責任部門
落實安全崗位和人員
對安全管理現(xiàn)狀進行分析
確定安全管理策略,制定安全管理制度
落實和執(zhí)行確定的策略和制度
安全自查和調(diào)整
安全管理策略和制度中又包括:
人員安全管理
事件處置和應急響應
日常運行維護
設備和介質(zhì)管理
安全監(jiān)測
……
技術整改主要是指部署和購買能夠滿足等保要求的系統(tǒng)���,比如網(wǎng)頁防篡改�、流量監(jiān)測、網(wǎng)絡入侵監(jiān)測等等����,跟目前已有的技術能力對比,查缺補漏���。
