等级保护的五个步骤
等级保护工作包含定级、备案、等级测评、建设整改、监督和检查五个工作环节。
- 信息系统安全责任主体根据系统重要性负责对系统开展定级,
- 并向地市所在的公共网络安全监管部门进行备案,
- 委托具备资质的等级保护测评机构开展测评,
- 依据测评结果开展安全建设整改。
- 公安机关对单位的等级保护工作开展进行监督检查。
等级保护等级划分
分为五级,一至五级等级逐级增强:
第一级(自主保护级)
等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级)
等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级)
等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级)
等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级)
等级保护对象受到破坏后,会对国家安全造成特别严重损害。
等级保护定级原则
等级保护定级不是越低越好。
应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。
当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
等级保护测评开展时间
第三级以上网络的运营者应当每年开展一次网络安全等级测评;
二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
等级保护工作重要性
等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。