等保第一步就是要定级,很多人想了解这个定级到底怎么定?谁说了算?会不会本来二级给定成三级,或者本来三级定成二级?
我只想告诉大家等保定级这么严肃的事情,怎么可能那么随意。先给大家看看相关的标准:
十大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
我们简要的了解下等保定级的流程
定级主要分为五级,级别越高相应的要求也越严格,定级需要结合国家相关的法规和行业主管部门的建议来进行,最终由当地网安来确认。参考的标准分为系统服务安全和业务信息安全两类:
系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
总而言之就是当业务信息和系统服务受到破坏时,影响越严重,则保护级别越高。
第一级:用户自主保护级;这个级别不做强制要求,相当于自己家的篱笆院,就养了一头小肥猪,也没啥值钱的东西,一旦发生问题,最多是猪跑出来,丢口锅啥的,不会对别人造成太大伤害。所以自己管好就行了,当然想做等保也是可以做的。
第二级:系统审计保护级;这个级别有强制要求,相当于自己家的小农场,养了好多的牛啊、羊啊什么的,经常有人来咱家买奶,买肉,还有人来卖饲料什么的,一旦发生问题,客户信息会泄露、家里的钱会被偷,牛羊啥的一群出去,可能会伤人,较大面积的损坏别人家的田地什么的,所以要至少两年一次强制保护;这个一般是县区一级的普通单位,或者是单位、企业的非核心业务系统;
第三级:安全标记保护级;这个级别要求更高一些,相当于自己家有大农场,牛、羊、马、藏獒各上千头,手里面有着大量客户信息、家里面还有很多的现金,那就要求你的农场必须要标准化,否则一旦卫生不达标容易出现大面积的疫情,自己受损失还会影响周边的养殖户,甚至还会危害其他群众的健康,影响社会秩序等;还会要求你围墙建好、监控装好等,每年都要检查;你不仅要做好防护工作,发现有可疑人物晃悠或者其他的异常情况,还要及时联系警察叔叔帮忙,及时上报;受到侵害后,还能迅速的把围墙垒起来,恢复农场的核心功能;这个一般是各行业的省、市一级单位,金融行业等关键基础设施普遍要求三级;
第四级:结构化保护级;这个相当于你不仅有农场、还有上下游的饲料厂、屠宰场、深加工场等,一旦某个环节出问题,不仅是你个人财产的问题,会大面积影响到居民的健康安全、大量的客户信息泄露、当地经济受到重大损失,社会舆情极其不利,这个要求至少每年要检测一次,到这个级别那你就进入TOP100了;
第五级:访问验证保护级;这个一般都是国家级了,第三方测评机构已经也做不了了,由国家专门组建专门的团队来维护,我等就不用太操心了。
等级保护测评会帮助用户从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等8大通用要求,发现可以优化改进的地方,还会针对云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求来针对用户进行专业的测评,给用户提供信息和网络安全的系统改进建议和报告。