1.什么是等级保护测评?
2.为什么要做等级保护测评?
3.等保1.0与2.0的区别在哪里?
4.等级保护测评参考标准有哪些?
5.等级保护测评的级别有哪些以及哪些系统需要?
6.等保测评的主要内容是什么?
7.等级保护测评的工作流程是怎样的?
1.什么是等级保护测评?
等保测评的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
2.为什么要做等级保护测评?
《网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《中华人民共和国计算机信息系统安全保护条例》
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
《信息安全等级保护管理办法》
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
十四条 第三级以上网络的运营者应当每年开展一次网络安全等级测评。教育行业规定二级信息系统每两年开展一次测评,第三级以上网络的运营者应当每年开展一次测评。
《国家信息化领导小组关于加强信息安全保障工作的意见》
国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。
3.等保1.0与2.0的区别在哪里?
等保1.0:2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。
等保2.0:2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)3个网络安全领域的国家标准(2019年12月1日起实施),标志着我国进入等级保护2.0时代。
二者区别:
4.等级保护测评参考标准有哪些?
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959-2018)
《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《电力信息系统安全等级保护实施指南》(GB/T 37138-2018)
《信息安全技术 网络安全等级保护测评评估技术指南》(GB/T 36627-2018)
《公安互联网系统信息安全等级保护要求》(GB/T 35317-2017)
《信息安全技术 公钥基础设施 PKI 系统安全等级保护技术要求》(GB/T 21053-2007)
《信息安全技术 公钥基础设施 PKI 系统安全等级保护评估准则》(GB/T 21054-2007)
5.等级保护测评的级别有哪些以及哪些系统需要?
等保测评等级总共分为5个等级:等保一级、等保二级、等保三级、等保四级和等保五级。
一级:会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
二级:会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
三级:会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
四级:会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
五级:会对国家安全造成特别严重损害。
6.等保测评的主要内容是什么?
物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。
网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点:结构安全扩展到对重要网段采取可靠的技术隔离,在网络边界增加对恶意代码检测和清除;安全审计增强审计数据分析和保护,生成审计报表;访问控制扩展到对进出网络的信息内容过滤。
主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。三级要求主要增强点:身份鉴别要求对管理用户采用组合鉴别技术。
应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。三级要求主要增强点:身份鉴别要求组合鉴别技术;访问控制和安全审计基本同主机安全增强要求;要求对通信过程中的整个报文或会话过程进行加密。
数据安全:包括数据完整性和保密性、数据的备份和恢复。三级要求主要增强点:对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复,采用加密或其他有效措施实现以上数据传输和存储的保密性;提供异地数据备份等。
以及其他管理要求如安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
7.等级保护测评的工作流程是怎样的?
等级保护测评的工作流程是系统定级➡系统备案➡安全建设整改➡等级测评➡监督检查。
系统定级
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。《信息系统安全等级保护定级指南》中有相关说明,测评等级一共是分为五个等级,这五个等级是根据等级保护对象在受到破坏时侵害的客体以及对客体造成侵害程度进行区分的。
系统备案
根据要求第二级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
安全建设整改
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
等级测评
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。
监督检查
公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。