1 什么是等保
等保就是网络安全等级保护,指的是按照信息系统应用业务重要程度和现实安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。《网络安全法》明确表示,在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。无论网络运营者的单位性质是政府机构还是个人企业;无论提供的是访问服务还是云服务或者工业控系统;无论是关键信息基础设施还是一般网络,只要在境内运营的网络都必须展开等级保护工作。2007 年和 2008 年颁布实施了《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,这两个文件被称为等保 1.0,2017年颁布了《中华人民共和国网络安全法》,规定了要进行网络安全等级保护;2019 年颁布了《网络安全等级保护条例》,这被称为等保2.0。
2 等保法规条例和标准
(1)等保相关法规条例文件有:
中华人民共和国计算机信息系统安全保护条例(1994 国务院 147 号令)
《中华人民共和国网络安全法》
计算机信息系统安全保护等级划分准则(GB17859-1999)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)
关于信息安全等级保护工作的实施意见(公通字 [2004]66 号)
《信息安全等级保护管理办法》公通字 [2007]43 号
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安 [2007]861 号)
《关键信息基础设施安全保护条例(征求意见稿)》(国家互联网信息办公室 2017 年7月10号发)
(2)等保相关标准有:
《GB 17859-1999 计算机信息系统 安全保护等级划分准则》
《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》
《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》
3 等保定级
(1)等保定级等级
在《信息安全等级保护管理办法》中,信息系统的保护等级被划分为五级:
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益;
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。
(2)等保定级步骤
第一步:确定定级对象。包括确定定级对象的主体,以及识别主体的的信息系统。识别信息系统后,要对信息系统进行划分,确定系统的管理边界,并确定的业务流程和业务间关系。
第二步:确定受侵害客体。识别在业务信息受破坏后或者系统服务受破坏后的侵害客体。
第三步:确定对客体的侵害程度。确定客体的业务信息和系统服务收到破坏后,对客体的侵害程度。并确定受到破坏后,业务系统的恢复能力。
第四步:确定业务信息安全等级和系统服务安全等级。
第五步:初步确定系统安全保护等级。
4 等保二级和三级的区别
等保二级和等保三级主要是定级的级别不同,二级不涉及损害国家安全,三级会涉及。两者级别不同,其实施的网络安全防护工作和配备的安全产品就会有差别,在等级保护测评实施中就会表现出来。所以,在等保建设过程中,等保二级比等保三级花费的人力成本、测评成本和安全设备采购费用会更少,等保三级的费用会更高。
等保二级和等保三级的定级结果区别最大在于,等保二级的定级对象遭到破坏时,审查是否对公民、法人和其他合法组织的权益以及社会秩序、公共利益带来损害;而等保二级的定级对象遭到破坏时,审查其从社会秩序、公共利益以及国家安全带来的侵害。例如,云平台供应商的平台很多定级为三级以上。因为这些供应商的云平台,一般出现问题,很有可能性严重侵害社会秩序、公共利益。
来源:《安全牛:中小企业等保建设白皮书(32页).pdf》
推荐阅读:《腾讯安全:等保2.0体系互联网合规实践白皮书(111页).pdf》
《软件与服务行业信息安全深度剖析3:数据安全和隐私计算站风口等保和关保再启增长-210818(28页).pdf》
来源:互联网 / 发布时间:2023-12-14 11:21:59