网络安全等级保护(简称等保)是中国政府为了保护信息安全而推出的一项制度。它根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统分为五个安全保护等级。等级从一到五逐级增高,第一级保护最低,第五级保护最高。等保工作包括定级、备案、建设整改、等级测评和监督检查五个阶段。信息系统运营、使用单位需要根据网络的安全等级,按照国家标准开展安全建设整改,并选择符合国家要求的测评机构进行等级测评。
等保制度的目的是提高网络安全防护能力,降低系统被攻击破坏的风险,维护单位良好的形象,并作为国家信息安全保障工作的基本制度。随着信息技术的发展,等保对象已经扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。等保2.0标准体系在继承1.0成果的基础上,适应了新时代的发展,提出了新的分等级的技术防护机制和完善的管理手段。
网络安全等级保护制度中的五个安全保护级别分别指什么?
网络安全等级保护制度中的五个安全保护级别分别是:
第一级:自主保护级
适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。这类信息系统遭到破坏后,将对公民、法人和其他组织的合法权益造成损害,但不会影响国家安全、社会秩序和公共利益。
第二级:指导保护级
适用于县级其他单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。此类信息系统被破坏后,将严重损害公民、法人和其他组织的合法权益,会对社会秩序、公共利益造成一般损害,不损害国家安全。
第三级:监督保护级
适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,比如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。这类信息系统被破坏后,将对国家安全和社会秩序造成危害,对公共利益造成严重损害,尤其是对公民、法人和其他组织的合法权益造成严重损害。
第四级:强制保护级
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。公安部门备案,要求半年一次。此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害。
第五级:专控保护级
一般适用于国家重要领域、重要部门中的极端重要系统。公安部门根据特殊安全需要备案。这类信息系统被破坏后,将特别严重地损害国家安全。
网络安全等级保护制度包含哪些主要工作流程?
网络安全等级保护制度的主要工作流程包括以下几个步骤:
定级:确定网络安全等级保护对象的安全保护等级,这是等保工作的第一步,安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。网络安全等级保护分为五个级别,从第一级到第五级,安全防护强度逐级增强。
备案:等级保护对象级别确定后,网络运营者或其主管部门需要在30个工作日内向所在地设区的市一级公安机关网安部门提交定级材料办理备案手续,备案成功后,由当地网安部门颁发《备案证明》。
建设整改:备案成功后,对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
等级测评:建设整改后,测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对被测评系统进行测试、评估,验证系统是否符合等级保护安全要求,并出具《等级测评报告》。
监督检查:测评完成后,被测评单位将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,测评工作完成。公安机关网安部门负责对等级保护网络的监督、检查、指导工作。
网络安全等级保护2.0与1.0相比有哪些更新内容?
网络安全等级保护2.0与1.0相比,主要有以下更新内容:
名称变化:由《信息安全技术信息系统安全等级保护基本要求》变为《信息安全技术网络安全等级保护基本要求》,以更好地与《中华人民共和国网络安全法》保持一致。
定级对象扩展:定级对象从信息系统扩展到包括基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等,实现了对多个领域的全覆盖。
安全要求细化:安全要求具体化为“安全通用要求+安全扩展要求”,根据不同的网络环境和技术应用,提出了云计算、移动互联、物联网、工业控制系统等方面的安全扩展要求。
法律地位提升:网络安全等级保护2.0在1.0的基础上,将等级保护上升为法律层面的要求,强化了网络安全的法律支撑和执行力度。
实施过程完善:等级保护2.0强调将安全要求落实到系统建设的全生命周期中,包括系统定级、备案、建设/整改、等级测评以及监督与检查等环节。
扫一扫
451
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
