一、前言
什么是等级保护
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
为什么要执行等级保护
(1)国家信息安全形势严峻;敌对势力的入侵攻击破坏,针对基础信息系统的违法犯罪持续上升(互联网诈骗、网络入侵、网上窃取信息、利用漏洞获取信息等)
(2)维护国家安全的需求;基本信息网络(三网:互联网、电信网、广电网)与重要信息系统(银行、铁路、电力等)已成为国家关键基础设施,信息安全是国家安全的重要组成部分,信息安全是非传统安全(信息安全的本质是信息对抗、技术对抗)
实施等级保护的目的(意义)
是国家信息安全保障工作的基本制度、基本国策,是开展信息安全保障工作的基本方法,是维护国家信息安全的根本保障。
有利于同步建设、协调发展、优化信息安全资源配置,明确信息安全的责任,推动信息安全产业的发展。
二、等级保护发展历程
1994年国务院147号令:第一次提出等级保护的概念,要求对信息系统分等级进行保护
2004年9月,《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号)
2007年7月,四部门在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
2015年,中央网信临到小组2015年工作要点:落实国家信息安全等级保护制度
2017年,网络安全法于6月1号实施,其中第二十一条“国家实行网络安全等级保护制度”,深化等保制度重要举措
2019年,网络安全等级保护制度2.0标准发布
三、等级保护级别标准
信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
安全等级保护一共分为5个等级
(从低到高:自主保护,指导保护,监督保护,强制保护,专控保护)
四、安全等级保护基本要求
等保基本要求由基本技术要求和基本管理要求组成,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
技术类安全要求与信息系统提供的技术安全机制有关,主要是通过信息系统中部署软硬件并正确的配置其安全功能来实现。
管理类安全要求与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
五、等级保护工作流程
定级->备案->建设整改->等保测评->监督检查
(1)定级:确定定级对象,初步确认定级对象,专家评审,主管部门审核、公安机关备案审查
(2)备案:持定级报告、备案表等材料到当地公安机关网安部门备案
(3)建设整改:参照信息系统当前等级要求和标准,对信息系统进行整改加固
(4)等保测评:委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告
(5)监督检查:向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查
六、网络安全法与等级保护
网络安全法明确等级保护工作重点,明确等级保护工作核心
参考文献:http://www.reining.com.cn/mine-html/hy-news-2018-06-29.html
网络安全法于2017年6月1日开始正式实施,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。(网络安全法共7章79条)
网络安全法第二十一条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单点就是单位不做等级保护工作就是违法。
七、后记
等级保护是现在网络安全发展的一个趋势,对于一些重要的单位,做好等级保护是必不可少的,对其技术和管理进行加固完善,让以往的被动防御变成主动防御。
来源:freebuf.com 2021-07-26 17:40:10 by: 和风sukf
请登录后发表评论
注册