作為國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系的核心標(biāo)準(zhǔn)之一���,《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)頂 級(jí)指南》規(guī)定了定級(jí)的原理與方法���,指導(dǎo)信息系統(tǒng)的運(yùn)營(yíng)�����、使用單位如何開展等級(jí)保護(hù)工作����。
1. 誰(shuí)需要等級(jí)保護(hù)
2.等級(jí)保護(hù)的五個(gè)級(jí)別
國(guó)家發(fā)布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中將安全等級(jí)劃分為五個(gè)級(jí)別:第 一級(jí):用戶自主保護(hù)級(jí)�����;第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)�����;第三級(jí):安全標(biāo)記保護(hù)級(jí)����;第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)���;第五級(jí):訪問驗(yàn)證保護(hù)級(jí)。
安全能力從第 一級(jí)到第五級(jí)逐漸增強(qiáng)�����。各部門��、各單位應(yīng)當(dāng)依照等級(jí)保護(hù)實(shí)施指南及相關(guān)標(biāo)準(zhǔn)���,根據(jù)實(shí)際安全需求�,按照等級(jí)的確定原則���,要求和方法���,確定本部門、本單位所屬信息系統(tǒng)的安全保護(hù)等級(jí)����,制定各自的安全等級(jí)保護(hù)解決方案,組織對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行加固改造�����,逐步開展新建系統(tǒng)的安全等級(jí)保護(hù)工作。
3. 定級(jí)流程有哪些
整體來(lái)說(shuō)一共有五個(gè)步驟����,包括了:
Step1:系統(tǒng)定級(jí)。需要過等保的運(yùn)營(yíng)單位要確定好定級(jí)對(duì)象���,確定要過的系統(tǒng)等級(jí),尋找當(dāng)?shù)毓舱J(rèn)可的評(píng)測(cè)機(jī)構(gòu)一起編寫定級(jí)報(bào)告��。如果確定需要通過三級(jí)等保��,則還需要組織專家評(píng)審���。
Step2:系統(tǒng)備案��。系統(tǒng)投入運(yùn)行的30日內(nèi)由其運(yùn)營(yíng)�����、使用單位到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)�����?��?梢宰屧u(píng)測(cè)機(jī)構(gòu)輔導(dǎo)進(jìn)行材料的準(zhǔn)備和備案���。
Step3:差距分析。評(píng)測(cè)機(jī)構(gòu)根據(jù)確定的等級(jí)和《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》對(duì)信息系統(tǒng)進(jìn)行差距對(duì)比分析��,告知運(yùn)營(yíng)單位需要對(duì)信息系統(tǒng)及自身管理進(jìn)行哪些整改�。運(yùn)營(yíng)單位按照整改要求進(jìn)行安全建設(shè)和整改。建設(shè)整改的時(shí)間有3個(gè)月����,一般根據(jù)系統(tǒng)的規(guī)模和復(fù)雜程度決定整改的時(shí)間,短的一周可以完成�,長(zhǎng)的3個(gè)月左右。
Step4:等級(jí)測(cè)評(píng)��。運(yùn)營(yíng)使用單位提供符合等級(jí)保護(hù)要求的建設(shè)和整改完成的證據(jù)�����。由評(píng)測(cè)機(jī)構(gòu)對(duì)系統(tǒng)等級(jí)符合情況進(jìn)行等級(jí)評(píng)測(cè)并出具評(píng)測(cè)報(bào)告�。評(píng)測(cè)結(jié)束后將評(píng)測(cè)報(bào)告提交給公安機(jī)關(guān)部門進(jìn)行保存,完成等級(jí)評(píng)測(cè)��。
Step5:監(jiān)督檢查�����。定級(jí)為二級(jí)的系統(tǒng)評(píng)測(cè)當(dāng)年復(fù)查一次即可。定級(jí)為三級(jí)的系統(tǒng)需要每年進(jìn)行評(píng)測(cè)檢查����,由評(píng)測(cè)機(jī)構(gòu)出具評(píng)測(cè)報(bào)告并由運(yùn)營(yíng)使用單位提交給公安機(jī)關(guān)。定級(jí)為四級(jí)的系統(tǒng)需要每半年進(jìn)行評(píng)測(cè)檢查�,由評(píng)測(cè)機(jī)構(gòu)出具評(píng)測(cè)報(bào)告并由運(yùn)營(yíng)使用單位提交給公安機(jī)關(guān)。
4. 系統(tǒng)建設(shè)�����、整改包含哪些內(nèi)容
落實(shí)信息安全的管理制度和技術(shù)和系統(tǒng)上的信息安全措施�����。此階段主要分為管理整改和技術(shù)整改�����。管理整改主要涉及:
管理整改主要包括:
安全管理策略和制度中又包括:
人員安全管理
事件處置和應(yīng)急響應(yīng)
日常運(yùn)行維護(hù)
設(shè)備和介質(zhì)管理
安全監(jiān)測(cè)
……
技術(shù)整改主要是指部署和購(gòu)買能夠滿足等保要求的系統(tǒng)�,比如網(wǎng)頁(yè)防篡改��、流量監(jiān)測(cè)�����、網(wǎng)絡(luò)入侵監(jiān)測(cè)等等���,跟目前已有的技術(shù)能力對(duì)比�����,查缺補(bǔ)漏��。
