一、等保流程:定级-备案-安全建设整改-等级测评-检查
定级:根据公民、法人、社会等方面的侵害程度定级
| 业务信息安全或系统服务安全被破坏时受侵害的客体 | 对相应客体的侵害程度 | ||
| 一般侵害 | 严重侵害 | 特别严重侵害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
等保三同步:同步规划、同步建设、同步实施、(动态调整)
等保分为五级别:五级为国家级别(一般不涉及)
| 等级 | 对象 | 侵害客体 | 侵害程度 | 监管力度 |
| 第一级 | 一般系统 | 公民、法人合法利益 | 一般损害 | 自主保护 |
| 第二级 | 公民、法人合法利益 | 严重损害 | 指导保护 | |
| 社会秩序和公共利益 | 一般损害 | |||
| 第三级 | 重要系统 | 社会秩序和公共利益 | 严重损害 | 监督保护 |
| 国家安全 | 一般损害 | |||
| 第四级 | 社会秩序和公共利益 | 特别严重损害 | 强制保护 | |
| 国家安全 | 严重损害 | |||
| 第五级 | 极端重要系统 | 国家安全 | 特别严重损害 | 专控保护 |
二、相关法令:
《中华人民共和国计算机信息系统安全保护条例》(1994.2.18国务院147号令) 等保第一个法律文件——国务院令 (第九条)
《计算机信息系统安全保护等级划分准则》(1999颁发的GB 17859)
-
第一级:用户自主保护级 自主保护级
-
第二级:系统审计保护级 指导保护级
-
第三级:安全标记保护级 监督保护级
-
第四级:结构化保护级 强制保护级
-
第五级:访问验证保护级 专控保护级
提出了等级保护在技术防护层面与安全管理层面的建设防护要求。
《国家信息化领导小组关于加强信息安全保障工作的意见》中办[2003]27号文件
“**********,制定信息安全等级保护的管理办法和技术指南”
可以说2007年为信息安全等保测评元年《信息安全等级保护管理办法》(公通字[2007]43号)
(小常识)门牌匾:左党右政,左红右黑。
三、等保1.0和等保2.0
- 定级对象:将基础信息网络,云计算平台,工业控制系统,物联网,大数据和使用移动互联技术的网络等确定为不同的定级对象
- 定级办法:安全保护等级由业务信息安全和系统服务安全两方面确定。(两个维度)
等保2.0-定级指南
- 对于大数据等定级对象,应根据数据规模,数据价值等因素确定其安全保护等级;
- 对于基础信息网络,云计算平台等定级对象,应根据其承载或将要做出调整。
四、等保测评的基本技术要求控制点:
五、对测评机构的要求:
三级以上信息信息系统应当使用符合以下条件的等级保护测评机构
- 在中华人民共和国境内注册成立(港澳台除外)
- 由中国公民投资,中国法人投资或国家投资的企事业单位(港澳台除外)
- 从事相关检测评估工作两年以上,无违法记录
- 工作人员仅限于中国公民
- 法人及其主要业务,技术人员无犯罪记录
- 使用的技术装备,设施应当符合本办法对信息安全产品的要求
- 具有完备的保密管理,项目管理,质量管理,人员管理和培训教育等安全管理制度
- 对国家安全,社会秩序,公共利益不构成威胁
扫一扫
1368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
