基本概念 | 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級保護工(gōng)作是保護信息化發展、維護信息安全的根本保障,是信息安全保障工(gōng)作中(zhōng)國家意志(zhì)的體(tǐ)現。 信息安全等級保護工(gōng)作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構,依據《信息系統安全等級保護測評要求》等技術标準,定期對信息系統安全等級狀況開(kāi)展等級測評。 |
意義 | ● 合法合規: 履行國家《網絡安全法》法律義務、滿足行業監管機構在信息安全領域的合規要求,開(kāi)展等級保護建設工(gōng)作可以有效規避組織所面臨的信息安全法律及合規風險。 ● 提高效率: 以等級保護爲标準開(kāi)展安全建設,讓安全建設更加體(tǐ)系化,可以從物(wù)理、網絡、主機、應用和數據多個方面成體(tǐ)系的進行安全建設,避免頭痛醫頭、腳痛醫腳,實現體(tǐ)系化的建設提高安全運維效率的成果。 |
發展曆程 | ● 1994年《中(zhōng)華人民共和國計算機信息系統安全保護條例》(國務院147号令):第一(yī)次提出“計算機信息系統實行安全等級保護”概念。 ● 1999年《計算機信息系統 安全等級保護劃分(fēn)準則》(GB17859):國家發布關于計算機信息系統安全保護等級劃分(fēn)準則強制性标準。 ● 2007年《信息安全等級保護管理辦法》(公通字[2007]43号):公安部發布管理辦法,旨在加快推進、規範管理等級保護建設工(gōng)作。 ● 2008年《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008):明确對于各等級信息系統的安全保護基本要求。 ● 2017年《中(zhōng)華人民共和國網絡安全法》:第二十一(yī)條明确國家實行等級保護制度,落實等級保護制度已經上升到法律層面。 |
法律要求 | 《中(zhōng)華人民共和國網絡安全法》【第二十一(yī)條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。 法律解讀:國家明确實行等級保護制度,網絡運營者應按等級保護要求開(kāi)展網絡安全建設。 《中(zhōng)華人民共和國網絡安全法》【第三十一(yī)條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一(yī)旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生(shēng)、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體(tǐ)範圍和安全保護辦法由國務院制定。(CII必須落實國家等級保護制度,突出保護重點) 法律解讀:關鍵信息基礎設施必須要落實等級保護制度,并要重點保護。 |
在等級保護建設整改過程中(zhōng),涉及到四個不同的角色,分(fēn)别是:建設單位、公安機關、建設服務商(shāng)、測評機構。
編寫定級報告、填寫定級備案表,完成在公安機關的定級備案。
采用技術手段和訪談調查方式發現現狀與國家要求之間的差距。
依照國家相關标準,完成等級保護建設整改方案設計。
完成設備采購及調整、策略配置調優、完善管理制度等工(gōng)作。
請測評中(zhōng)心完成系統測評,獲得測評報告。
信息系統運營使用單位按照《信息安全等級保護管理辦法》和《網絡安全等級保護定級指南(nán)》,初步确定定級對象的安全保護等級,起草《網絡安全等級保護定級報告》;三級以上系統,定級結論需要進行專家評審。
運營單位:确定安全保護等級,編寫定級報告
阿裏雲:協調第三方機構爲運營單位提供輔導服務
咨詢或測評機構:輔導運營單位準備定級報告;組織專家評審(三級)
信息系統安全保護等級爲第二級以上時,備案時應當提交《網絡安全等級保護備案表》和定級報告;第三級以上系統,還需提交專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。
運營單位:準備備案材料,到當地公安機關備案
阿裏雲:協調第三方機構爲運營單位提供輔導服務
咨詢或測評機構:輔導運營單位準備備案材料和備案
依據《網絡安全等級保護基本要求》,利用自有或第三方的安全産品和專家服務,對信息系統進行安全建設和整改,同時制定相應的安全管理制度;
運營單位:建設符合等級要求的安全技術和管理體(tǐ)系
阿裏雲:提供符合等級要求必須的安全産品和服務
咨詢或測評機構:輔導運營單位進行系統安全加固和制定安全管理制度
公安機關:當地公安機關審核受理備案材料
運營使用單位應當選擇合适的測評機構,依據《網絡安全等級保護測評要求》等技術标準,定期對信息系統安全等級狀況開(kāi)展等級測評。
運營單位:準備和接受測評機構測評
阿裏雲:提供雲服務商(shāng)安全資(zī)質、雲平台通過等保的證明材料
測評機構:測評機構對系統等級符合性狀況進行測評
公安機關及其他監管部門會在整個過程中(zhōng),履行相應的監管、審核和檢查等職責。
運營單位:接受公安機關的定期檢查
公安機關:監督檢查運營單位開(kāi)展等級保護工(gōng)作
等保建設過程涉及定級、備案、整改、測評、檢查五個階段及建設單位、公安機關、測評機構、咨詢服務商(shāng)、産品服務商(shāng)等多個角色,通過與當地的測評機構及等保咨詢服務商(shāng)合作,億騰科技爲企業提供一(yī)站式的等保建設服務,協助企業完成相應的流程、提供業務整改與建設方案、爲業務遷雲與運維提供全程的服務。
擁有大(dà)量等保咨詢服務的經驗,從中(zhōng)總結了等保對主機操作系統的所有安全要求,針對操作系統的身份鑒别、訪問控制、安全審計、入侵防範、系統控制和信息保護預置了安全防護策略并生(shēng)成了專用的等保鏡像供企業直接使用,支持Windows及主流的Linux版本,減少了後期的等保整改工(gōng)作量。
擁有滿足最高三級等保要求的下(xià)一(yī)代防火(huǒ)牆、應用交付、SSL VPN、主機殺毒、堡壘機、數據庫審計等安全組件,爲業務系統提供從接入、傳輸、網絡到應用、數據的完整安全防護方案。
在重要節日、國内外(wài)重大(dà)會議與重要賽事期間,億騰科技的安全保障團隊将主動對用戶的業務系統進行必要的安全檢查,提供專業的運維服務,并能夠快速響應各類安全事件,讓企業安心無虞。