信息安全系统等级保护|一文读懂“等保测评备案”
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统(APP)安全等级保护。
互联网时代,随着信息化进程不断推进,网络和信息系统的安全问题愈加重要。一些企业和机构掌握着大量公民隐私信息,一旦遭到网络攻击,便会造成十分严重的后果。而围绕等保合规建设实现安全管理体系化,是当下中国企业全面提升安全防护能力的必要路径和契机。
问
为什么要做等级保护?
答
法律法规要求:《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
行业要求:在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
企业系统安全的需求:信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。
问
信息安全等级保护测评的依据?
答
依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
1
第一级:用户自主保护级,目前1.0版本不需要去备案(提交材料公安部也会给备案证明),等保2.0是需要备案的;
2
第二级:系统审计保护级,二级信息系统为自主检查或上级主管部门进行检查,建议时间为每两年检查一次;
3
第三级:安全标记保护级,三级信息系统应当每年至少进行一次等级测评;
4
第四级:结构化保护级,四级信息系统应当每半年至少进行一次等级测评;
5
第五级:访问验证保护级,五级信息系统应当依据特殊安全需求进行等级测评。
其中三级等保是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查。具体程序包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查共五个阶段。认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格。
对于企业来说,最常见的误区是把等保测评当成“应试”和负担。事实上等保不是考试,不是为了应付,而是通过等保发现问题、解决问题,提高信息系统的安全防护能力。此外,等保只是网络安全的手段而不是目的,是起点而不是终点。与安全能力同步建设和投资策略匹配的“合规”,才是高效实现“持续安全”和“动态安全”的基础。