① 等級保護常見問題和解答
答:等級保護是公安部第三研究為響應國務院147號令而牽頭制定的信息安全標准和規范,全稱《信息安全等級保護》。等級保護截止目前為止分為兩個版本,等級保護1.0和等級保護2.0,基本內容要求分別參考GB/T 22239-2008和GB/T 22239-2019,由此可見等級保護1.0是從2008年開始實施的,而等級保護2.0是從2019年開始實施的。
等保2.0之後都是由專家進行定級,也就是在當地公安網監部門進行等保備案的時候進行定級評估。一般遵循如下原則:
答:等保的指標項參考基本要求項GBT 22239和測評項 GBT 28448;原則上可以通過配置和自身調整實現的基本要求項和測評項就不需要額外購買軟硬體來彌補,如果實在消耗人力和資源過大和無法通過自身資源調整實現,那最快最使用的方式就是購買第三方軟硬體和服務來實現該項的要求。
答:等級保護的范圍是全國所有非涉密系統,無論系統在內網還是互聯網,都需要做等保。
答:等級保護是以信息系統為整體,而不是以公司或部門。
比如有一個公司有10個信息系統,那麼除去不重要的,還有5個。
a、有兩個信息系統之間存在較多的數據之間的交互,則可以以一個整體做等保;
b、如有較少的數據交互或不存在交互,則建議單獨定級。
答:等保二級每兩年一次,沒有明確的標准說明,一般都是建議每兩年做一次。
等保三級每年都需做一次,參考見《信息安全等級保護管理辦法》(公通字[2007]43號),又稱43號文第十四條明確規定。
http://www.scio.gov.cn/ztk/hlwxx/02/09/document/533639/533639.htm
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行網路安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
如果你的信息系統沒做等保,那被攻擊了,造成一定影響了,首先是你沒履行網路安全義務,其次是黑客犯法,兩者都將收到嚴懲。
關鍵信息基礎設施簡稱「關保」,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
等級保護與關鍵信息基礎設施保護的區別在於,「關保」是在網路安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網路安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。
目前「關保」的基本要求、測評指南、高風險判例等均已完成,相關工作已啟動。等保的受眾范圍比關保要廣泛,通常要做關保建設的主體都要做等保建設,而要做等保建設的不一定要做關保建設,關保建設是針對重要行業和領域的,是基於等保之上進行重點保護的。
《中華人民共和國網路安全法》第二十一條規定網路運營者應當按照網路安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
等級保護工作是保障我國網路安全的基本動作,目前各單位需按照所在行業及保護對象重要程度,依據網路安全法及相關部門要求,按照「同步規劃、同步建設、同步使用」的原則,開展等級保護工作。
一個二級或三級的系統整體持續周期1-2個月。
現場測評周期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。
小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1-2周。
目前各地根據各自省份或城市的情況,還存在單獨規定測評實施周期的情況,一般是簽訂測評合同之日起3-6個月必須出具測評報告。
等級保護工作屬於屬地化管理,測評收費非全國統一價,測評費用每個省都有一個參考報價標准。因業務系統規模大小及是否涉及擴展功能測試不同總體測評費用也有所差異。
如某省的參考報價為:二級系統測評費5萬,三級系統測評費9萬。
等級保護採用備案與測評機制而非認證機制,不存在包過的說法,盲目採納服務商包過的產品與服務套餐往往不是最高性價比的方案。網路運營者可結合自身實際安全需求與等保測評預期得分,咨詢專業的第三方安全咨詢服務機構來開展等建設工作。
測評後無合格證書。等級保護採用備案與測評機制而非認證機制,在屬地網安備案後可獲得《信息系統安全等級保護備案證明》,測評工作完成後會收到具有法律效率的「測評報告(至少要加蓋測評機構公章和測評專用章)」。
全國各省網警管理有所差異,一般提交備案流程後,如資料完備,順利通過審核後15個工作日即可拿到備案證明。
等級保護2.0測評結果包括得分與結論評價;得分為百分制,及格線為70分;結論評價分為優、良、中、差四個等級。
不同公司作為兩個獨立承擔法律的主體單位,必須明確唯一的備案主體,不能算一個系統。同一單位的業務系統,如確實經過改造,入口、後台、業務關聯性、重要程度等符合《GB/T 22240-2020 信息系統安全 網路安全等級保護定級指南》要求可以算作一個系統。
選擇有測評資質的測評公司,優先考慮本地測評公司。可參照中國網路安全等級保護網( djbh.net )的《全國網路安全等級保護測評機構推薦目錄》選中幾家進行邀請投標,同時關注該網站公布的國家網路安全等級保護工作協調小組辦公室的不定期整改公告中是否涉及相關測評公司。
等級保護涉及面廣,相關的安全標准、規范、指南還有很多正在編制或修訂中。常用的規范標准包括但不限於如下:
不是。等級保護測評結論為「差」,表示目前該信息系統存在高危風險或整體安全性較差,沒有達到相應標准要求。但是這並不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標准,需要抓緊整改。
一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
要做。業務上雲有多種情況,如在公有雲、私有雲、專有雲等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網路運營者的安全責任不會轉移。根據「誰運營誰負責、誰使用誰負責、誰主管誰負責」的原則,應承擔網路安全責任進行等級保護工作。
很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評標准只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但是,安全是一個動態而非靜止的過程,不是通過一次測評,就可以一勞永逸的。
企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此,要通過等級保護測評工作開展,以「一個中心、三重防護」好「三化六防」等為指導,不斷提升網路攻防能力。
首先,等保的每隔一段時間進行評測的,是一個持續不斷的過程;即使投機取巧今年過了,明年後年也還是要進行測評的。
其次,並沒有要求一定要自己購買,只需要提供有相關的服務證明即可,租賃合同也可以的。
首先聲明等保是沒有明文規定要求去購買第三方軟體和硬體的,第三方的軟體和硬體只是作為補償措施;在應用系統本身無法都滿足等保要求的情況下,可以藉助一些補償措施來彌補應用系統上的不足,讓應用系統符合等級保護測評項的相關要求。
漏洞掃描: 基本所有級別的等保都建議要進行漏洞掃描
滲透測試: 三級等保要求必須做,二級等保雖然不是強制要求但是首次進行等保建設還是建議先做一次的。
基線核查: 並非等保要求,但是方便去整改;如果在測評之前做了基線核查工作,那麼整改起來也會方便很多。
最快也得一周,具體看當地網監部門的審核進度。
② 什麼行業需要做等級保護,等保保護有哪些步驟
信息系統安全保護等級分為以下五個等級:第一個等級,當信息系統受到破壞時,會損害公民、法人和其他組織的合法權益,但不會損害國家安全、社會秩序和公共利益。運營和使用一級信息系統的單位應當按照國家有關管理規范和技術標准進行保護。二是信息系統遭到破壞,將嚴重損害公民、法人和其他組織的合法權益,或者社會秩序、公共利益,但不損害國家安全。國家信息安全監管部門對本級信息系統的安全等級保護進行指導。第三,信息系統被破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門應當對本級信息系統的安全等級保護進行監督檢查。第四,信息系統被破壞後,會對社會秩序和公共利益造成特別嚴重的損害,或者對國家安全造成嚴重損害。國家信息安全監管部門應當對本級信息系統的安全等級保護實施強制監督檢查。第五,信息系統被破壞後,會對國家安全造成特別嚴重的損害。國家信息安全監管部門對信息系統安全保護水平進行專項監督檢查。企業申請等級保護備案的原因:1。通過等級保護工作,發現單位信息系統的隱患和不足。安全整改後,提高了信息系統的信息安全防護能力,降低了系統遭受各種攻擊的風險,維護了單位的良好形象。2.等級保護是中國信息安全的基本政策。國家法律法規和相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》、《中華人民共和國網路安全法》等。3.許多行業主管部門要求行業客戶進行等級保護工作。目前已發布行業要求文件的行業有:金融、電力、廣電、醫療、教育等行業。落實個人和單位的網路安全保護義務,合理規避風險。
二級系統主要是以下系統:區縣級重要信息系統、地市級和省級一般信息系統,其中一般信息系統是指不涉及敏感信息或重要信息的信息系統,這些系統可歸為二級系統;三級系統主要包括以下系統:省級單位門戶網站、地級市影響力比較大的單位門戶網站、地級市及以上重要業務網站需要劃分為三級;涉及工作秘密、敏感信息、重要信息的地市級及以上的辦公系統,管理系統需要定為三級,各省市用於生產、調度、管理、指揮的跨省分支系統需要定為三級,跨省網路系統需要定為三級(這一般是在全國范圍內運行的專網系統)。建議先咨詢專業機構,具體分析比較靠譜。
③ 等級保護必須要做么找誰做
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
企業辦理等級保護的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
等級保護總共分為5級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
④ 國家信息安全等級保護制度 的內容是什麼謝謝
國家信息安全等級保護制度分為五個階段:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
企業辦理等級保護的原因是:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
⑤ 《水利網路與信息安全體系建設基本技術要求》中的「兩網三區四級」指的是什麼內容
兩網是指外網和內網即非涉密網和涉密網
四級是指公安部規定的等級保護四級
三區就不清楚了
另外你有這個《要求》原稿嗎?