什么是等級保護(hù)?等級保護(hù)工作具體步驟介紹
今天總結(jié)下關(guān)于等級保護(hù)工作的一些基礎(chǔ)性知識,方便大家對等級保護(hù)工作有個快速的認(rèn)識和了解。
一、什么是等級保護(hù)?
答:網(wǎng)絡(luò)安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
解讀:等級保護(hù)是對專有信息及信息系統(tǒng)進(jìn)行分等級保護(hù),對其中的信息安全產(chǎn)品進(jìn)行按等級管理,對發(fā)現(xiàn)的安全事件分等級響應(yīng)和處置。兩個對象,三重管理。
二、等級保護(hù)工作具體步驟是怎樣的?
答:根據(jù)信息系統(tǒng)等級保護(hù)相關(guān)標(biāo)準(zhǔn),等級保護(hù)工作總共分五個階段,分別為:1)是信息系統(tǒng)定級;2)是信息系統(tǒng)備案;3)是系統(tǒng)安全建設(shè);4)是信息系統(tǒng)開始等級測評;5)主管單位定期開展監(jiān)督檢查。
解讀:系統(tǒng)定級和備案工作是等級保護(hù)工作開展的前提,也是等級保護(hù)工作最先要做的內(nèi)容,系統(tǒng)安全建設(shè)可以先做也可以在等級測評之后再進(jìn)行,第三和第四步?jīng)]有嚴(yán)格意義上的先后順序之分。
三、開展等級保護(hù)工作的相關(guān)法律法規(guī)或文件要求?
答:《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確要求我國信息安全保障工作實(shí)行等級保護(hù)制度;《信息安全等級保護(hù)管理辦法》的通知(公通字[2007]43號)具體部署了實(shí)施信息安全等級保護(hù)工作的操作辦法;《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》(公信安[2010]303號)加快推動了等級保護(hù)工作的發(fā)展;《中華人民共和國網(wǎng)絡(luò)安全法》第21條明確了國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。
解讀:網(wǎng)絡(luò)安全法的出臺將等級保護(hù)工作以法律形式確定下來,等級保護(hù)工作至此以法律的形式確定為國家網(wǎng)絡(luò)安全的基本網(wǎng)絡(luò)安全制度,不開展等級保護(hù)工作就是在違法,大家一定要認(rèn)識到問題的嚴(yán)重性。
四、等級保護(hù)分為幾個等級?
答:分為五個等級,分別為第一級(自主保護(hù)級)、第二級(指導(dǎo)保護(hù)級)、第三級(監(jiān)督保護(hù)級)、第四級(強(qiáng)制保護(hù)級)、第五級(??乇Wo(hù)級)。系統(tǒng)的重要程度從1-5級逐級升高。
我們在日常工作中需要進(jìn)行等級保護(hù)測評的系統(tǒng)是2-4級,經(jīng)常遇到的是二級和三級信息系統(tǒng),一級系統(tǒng)要求比較低,不需要進(jìn)行測評,如果某個系統(tǒng)達(dá)到五級系統(tǒng),那么這個系統(tǒng)很可能就已經(jīng)涉密了,就不是等級保護(hù)范疇了,所以在技術(shù)要求里也沒有五級的相關(guān)標(biāo)準(zhǔn)要求。
五、去哪里進(jìn)行信息系統(tǒng)的定級備案工作?
答:全國絕大部分地方規(guī)定:各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊(duì),省級單位將資料交給省公安網(wǎng)安總隊(duì),特定行業(yè)有要求的另說,也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊(duì),再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級市網(wǎng)安支隊(duì)進(jìn)行備案。
解讀:系統(tǒng)定級資料填寫完成之后打印兩份,首頁蓋章,電子檔準(zhǔn)備一份,帶著這些資料去當(dāng)?shù)毓簿W(wǎng)安部門進(jìn)行系統(tǒng)備案,至于到底是哪個網(wǎng)安請根據(jù)各地的要求,省、市、區(qū)縣都有可能。
六、什么是等級保護(hù)測評?
答:等級保護(hù)測評指的是等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
解讀:測評的主體是測評機(jī)構(gòu),測評的對象是非涉密的信息系統(tǒng)。
七、信息系統(tǒng)的測評多久需要測一次?
答:四級信息系統(tǒng)要求每半年至少開展一次測評;三級信息系統(tǒng)要求每年至少開展一次測評;二級信息系統(tǒng)一般每兩年開展一次測評,時間上沒有強(qiáng)制要求,部分行業(yè)有行業(yè)標(biāo)準(zhǔn)要求,如教育行業(yè)明確二級系統(tǒng)兩年做一次測評。
解讀:二級系統(tǒng)為什么建議是兩年呢?一、系統(tǒng)相對三級沒那么重要,所以時間上相對長點(diǎn);二、系統(tǒng)相對沒有定級的系統(tǒng)更重要些,且往往有些二級系統(tǒng)也非常重要,存儲了大量重要的信息數(shù)據(jù)(其實(shí)本來是定三級的,種種原因定了二級),不去做測評,風(fēng)險(xiǎn)太大。
八、等級保護(hù)測評一般多長時間能測完?
答:現(xiàn)場測評周期一般一周左右,具體看信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,有所增減。小規(guī)模安全整改2-3周,出具報(bào)告時間一周,整體持續(xù)周期1-2個月。如果整改不及時或牽涉到購買設(shè)備,時間上會相對較長。
解讀:理論上首次測評之后出具測評報(bào)告項(xiàng)目就結(jié)束了,但是實(shí)際情況好多是客戶接受不了結(jié)論不符合的報(bào)告,所以很多時候是等客戶整改后,測評機(jī)構(gòu)再進(jìn)行復(fù)測,復(fù)測完成后出具最終的測評報(bào)告。所以在首次測評后需要抓緊進(jìn)行安全整改,整改的快自然結(jié)束的快,所以用戶單位想早點(diǎn)結(jié)束的話就得把安全整改抓緊落實(shí)完成。
九、等級保護(hù)測評的費(fèi)用是多少?
答:測評的費(fèi)用首先是按照信息系統(tǒng)來算,不是按照一個單位,第二不同等級的測評費(fèi)用不一樣。費(fèi)用每個省市情況不一樣,通常每個省市都有自己的一個價(jià)格區(qū)間。整體價(jià)格的規(guī)律是系統(tǒng)等級越高測評費(fèi)用越多,系統(tǒng)規(guī)模越大測評費(fèi)用越高,具體價(jià)格和當(dāng)?shù)販y評機(jī)構(gòu)進(jìn)行確定。
解讀:測評的費(fèi)用按照系統(tǒng)個數(shù)和系統(tǒng)的等級去核算,等級越高的相對費(fèi)用越高
一、什么是等級保護(hù)?
答:網(wǎng)絡(luò)安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
解讀:等級保護(hù)是對專有信息及信息系統(tǒng)進(jìn)行分等級保護(hù),對其中的信息安全產(chǎn)品進(jìn)行按等級管理,對發(fā)現(xiàn)的安全事件分等級響應(yīng)和處置。兩個對象,三重管理。
二、等級保護(hù)工作具體步驟是怎樣的?
答:根據(jù)信息系統(tǒng)等級保護(hù)相關(guān)標(biāo)準(zhǔn),等級保護(hù)工作總共分五個階段,分別為:1)是信息系統(tǒng)定級;2)是信息系統(tǒng)備案;3)是系統(tǒng)安全建設(shè);4)是信息系統(tǒng)開始等級測評;5)主管單位定期開展監(jiān)督檢查。
解讀:系統(tǒng)定級和備案工作是等級保護(hù)工作開展的前提,也是等級保護(hù)工作最先要做的內(nèi)容,系統(tǒng)安全建設(shè)可以先做也可以在等級測評之后再進(jìn)行,第三和第四步?jīng)]有嚴(yán)格意義上的先后順序之分。
三、開展等級保護(hù)工作的相關(guān)法律法規(guī)或文件要求?
答:《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確要求我國信息安全保障工作實(shí)行等級保護(hù)制度;《信息安全等級保護(hù)管理辦法》的通知(公通字[2007]43號)具體部署了實(shí)施信息安全等級保護(hù)工作的操作辦法;《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》(公信安[2010]303號)加快推動了等級保護(hù)工作的發(fā)展;《中華人民共和國網(wǎng)絡(luò)安全法》第21條明確了國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。
解讀:網(wǎng)絡(luò)安全法的出臺將等級保護(hù)工作以法律形式確定下來,等級保護(hù)工作至此以法律的形式確定為國家網(wǎng)絡(luò)安全的基本網(wǎng)絡(luò)安全制度,不開展等級保護(hù)工作就是在違法,大家一定要認(rèn)識到問題的嚴(yán)重性。
四、等級保護(hù)分為幾個等級?
答:分為五個等級,分別為第一級(自主保護(hù)級)、第二級(指導(dǎo)保護(hù)級)、第三級(監(jiān)督保護(hù)級)、第四級(強(qiáng)制保護(hù)級)、第五級(??乇Wo(hù)級)。系統(tǒng)的重要程度從1-5級逐級升高。
我們在日常工作中需要進(jìn)行等級保護(hù)測評的系統(tǒng)是2-4級,經(jīng)常遇到的是二級和三級信息系統(tǒng),一級系統(tǒng)要求比較低,不需要進(jìn)行測評,如果某個系統(tǒng)達(dá)到五級系統(tǒng),那么這個系統(tǒng)很可能就已經(jīng)涉密了,就不是等級保護(hù)范疇了,所以在技術(shù)要求里也沒有五級的相關(guān)標(biāo)準(zhǔn)要求。
五、去哪里進(jìn)行信息系統(tǒng)的定級備案工作?
答:全國絕大部分地方規(guī)定:各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊(duì),省級單位將資料交給省公安網(wǎng)安總隊(duì),特定行業(yè)有要求的另說,也有部分地方是先將資料交到區(qū)縣網(wǎng)安大隊(duì),再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級市網(wǎng)安支隊(duì)進(jìn)行備案。
解讀:系統(tǒng)定級資料填寫完成之后打印兩份,首頁蓋章,電子檔準(zhǔn)備一份,帶著這些資料去當(dāng)?shù)毓簿W(wǎng)安部門進(jìn)行系統(tǒng)備案,至于到底是哪個網(wǎng)安請根據(jù)各地的要求,省、市、區(qū)縣都有可能。
六、什么是等級保護(hù)測評?
答:等級保護(hù)測評指的是等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
解讀:測評的主體是測評機(jī)構(gòu),測評的對象是非涉密的信息系統(tǒng)。
七、信息系統(tǒng)的測評多久需要測一次?
答:四級信息系統(tǒng)要求每半年至少開展一次測評;三級信息系統(tǒng)要求每年至少開展一次測評;二級信息系統(tǒng)一般每兩年開展一次測評,時間上沒有強(qiáng)制要求,部分行業(yè)有行業(yè)標(biāo)準(zhǔn)要求,如教育行業(yè)明確二級系統(tǒng)兩年做一次測評。
解讀:二級系統(tǒng)為什么建議是兩年呢?一、系統(tǒng)相對三級沒那么重要,所以時間上相對長點(diǎn);二、系統(tǒng)相對沒有定級的系統(tǒng)更重要些,且往往有些二級系統(tǒng)也非常重要,存儲了大量重要的信息數(shù)據(jù)(其實(shí)本來是定三級的,種種原因定了二級),不去做測評,風(fēng)險(xiǎn)太大。
八、等級保護(hù)測評一般多長時間能測完?
答:現(xiàn)場測評周期一般一周左右,具體看信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,有所增減。小規(guī)模安全整改2-3周,出具報(bào)告時間一周,整體持續(xù)周期1-2個月。如果整改不及時或牽涉到購買設(shè)備,時間上會相對較長。
解讀:理論上首次測評之后出具測評報(bào)告項(xiàng)目就結(jié)束了,但是實(shí)際情況好多是客戶接受不了結(jié)論不符合的報(bào)告,所以很多時候是等客戶整改后,測評機(jī)構(gòu)再進(jìn)行復(fù)測,復(fù)測完成后出具最終的測評報(bào)告。所以在首次測評后需要抓緊進(jìn)行安全整改,整改的快自然結(jié)束的快,所以用戶單位想早點(diǎn)結(jié)束的話就得把安全整改抓緊落實(shí)完成。
九、等級保護(hù)測評的費(fèi)用是多少?
答:測評的費(fèi)用首先是按照信息系統(tǒng)來算,不是按照一個單位,第二不同等級的測評費(fèi)用不一樣。費(fèi)用每個省市情況不一樣,通常每個省市都有自己的一個價(jià)格區(qū)間。整體價(jià)格的規(guī)律是系統(tǒng)等級越高測評費(fèi)用越多,系統(tǒng)規(guī)模越大測評費(fèi)用越高,具體價(jià)格和當(dāng)?shù)販y評機(jī)構(gòu)進(jìn)行確定。
解讀:測評的費(fèi)用按照系統(tǒng)個數(shù)和系統(tǒng)的等級去核算,等級越高的相對費(fèi)用越高