等级保护是指主体公司对其重要信息化资产按照重要性进行分级安全管理,并通过第三方机构测评获取等级保护合规认证。
1. 等级保护的作用(公司为什么做等级保护)
保护资产:保障公司信息资产,尤其是业务资产的 保密性、完整性和可用性。
法律要求:得到等保认证证书,符合国家法规对关键信息基础设施的要求。
业务价值:降低公司信息安全风险,增强客户和合作伙伴信任。
2. 等级保护的实施步骤
step1. 资产识别与分类(业务方):明确需要保护的信息资产及其业务重要性。
step2. 安全等级划分(测评方):根据GB/T22239 & 28448及相关法规确定安全等级。
根据资产的重要性划分安全等级,分为五个等级:
第一级:信息系统受破坏对公司基本无影响。
第二级:影响公司业务,但不会导致重大损失。
第三级:对社会秩序或经济利益产生较大影响。
第四级:可能危害国家安全或社会稳定。
第五级:对国家安全或重要基础设施构成极大威胁。
step3. 初次测评(测评方):测评机构进行初测并给出《差异评分表》&《整改建议》。
step4. 技术防护与管理(业务方):根据整改建议对资产进行技术和管理防护措施。
技术:身份认证、加密通信、边界防护等。
管理:权限分配、安全审计、应急预案等。
step5. 二次测评(测评方):测评机构进行二次测评。
step6. 审核备案(测评方):给予等级保护2.0认证证书,三级以上系统增加公安备案。
cycle. 监督检查(公安部):依据《公安机关信息安全等级保护检查工作规范》三级以上系统每年要进行周期性的等保测评,
通过等级保护2.0认证,企业不仅能够获得等级保护认证证书,实现信息资产的安全基础建设,还可以增强业务竞争力与客户信任。
扫一扫
4187
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
