作為國家網(wǎng)絡(luò )安全等級保護標準體系的核心標準之一��,《信息安全技術(shù) 信息系統安全等級保護頂 級指南》規定了定級的原理與方法�,指導信息系統的運營(yíng)�����、使用單位如何開(kāi)展等級保護工作����。
1. 誰(shuí)需要等級保護
2.等級保護的五個(gè)級別
國家發(fā)布實(shí)施的《計算機信息系統安全保護等級劃分準則》中將安全等級劃分為五個(gè)級別:第 一級:用戶(hù)自主保護級�;第二級:系統審計保護級����;第三級:安全標記保護級����;第四級:結構化保護級�����;第五級:訪(fǎng)問(wèn)驗證保護級���。
安全能力從第 一級到第五級逐漸增強�。各部門(mén)�、各單位應當依照等級保護實(shí)施指南及相關(guān)標準��,根據實(shí)際安全需求�����,按照等級的確定原則��,要求和方法����,確定本部門(mén)���、本單位所屬信息系統的安全保護等級����,制定各自的安全等級保護解決方案�����,組織對現有信息系統進(jìn)行加固改造����,逐步開(kāi)展新建系統的安全等級保護工作��。
3. 定級流程有哪些
整體來(lái)說(shuō)一共有五個(gè)步驟����,包括了:
Step1:系統定級�����。需要過(guò)等保的運營(yíng)單位要確定好定級對象����,確定要過(guò)的系統等級��,尋找當地公安認可的評測機構一起編寫(xiě)定級報告��。如果確定需要通過(guò)三級等保���,則還需要組織專(zhuān)家評審����。
Step2:系統備案���。系統投入運行的30日內由其運營(yíng)��、使用單位到當地公安機關(guān)網(wǎng)監部門(mén)辦理備案手續�����??梢宰屧u測機構輔導進(jìn)行材料的準備和備案�。
Step3:差距分析�����。評測機構根據確定的等級和《網(wǎng)絡(luò )安全等級保護基本要求》對信息系統進(jìn)行差距對比分析����,告知運營(yíng)單位需要對信息系統及自身管理進(jìn)行哪些整改�。運營(yíng)單位按照整改要求進(jìn)行安全建設和整改�。建設整改的時(shí)間有3個(gè)月����,一般根據系統的規模和復雜程度決定整改的時(shí)間��,短的一周可以完成�,長(cháng)的3個(gè)月左右�����。
Step4:等級測評���。運營(yíng)使用單位提供符合等級保護要求的建設和整改完成的證據�。由評測機構對系統等級符合情況進(jìn)行等級評測并出具評測報告�。評測結束后將評測報告提交給公安機關(guān)部門(mén)進(jìn)行保存���,完成等級評測�����。
Step5:監督檢查�。定級為二級的系統評測當年復查一次即可����。定級為三級的系統需要每年進(jìn)行評測檢查����,由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)���。定級為四級的系統需要每半年進(jìn)行評測檢查�����,由評測機構出具評測報告并由運營(yíng)使用單位提交給公安機關(guān)�。
4. 系統建設����、整改包含哪些內容
落實(shí)信息安全的管理制度和技術(shù)和系統上的信息安全措施���。此階段主要分為管理整改和技術(shù)整改�����。管理整改主要涉及:
管理整改主要包括:
明確主管領(lǐng)導�,和責任部門(mén)
落實(shí)安全崗位和人員
對安全管理現狀進(jìn)行分析
確定安全管理策略��,制定安全管理制度
落實(shí)和執行確定的策略和制度
安全自查和調整
安全管理策略和制度中又包括:
人員安全管理
事件處置和應急響應
日常運行維護
設備和介質(zhì)管理
安全監測
……
技術(shù)整改主要是指部署和購買(mǎi)能夠滿(mǎn)足等保要求的系統���,比如網(wǎng)頁(yè)防篡改����、流量監測���、網(wǎng)絡(luò )入侵監測等等�����,跟目前已有的技術(shù)能力對比�,查缺補漏�。
