等保簡介

基本概念 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級保護工(gōng)作是保護信息化發展、維護信息安全的根本保障,是信息安全保障工(gōng)作中(zhōng)國家意志(zhì)的體(tǐ)現。
信息安全等級保護工(gōng)作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構,依據《信息系統安全等級保護測評要求》等技術标準,定期對信息系統安全等級狀況開(kāi)展等級測評。
意義 ● 合法合規:
履行國家《網絡安全法》法律義務、滿足行業監管機構在信息安全領域的合規要求,開(kāi)展等級保護建設工(gōng)作可以有效規避組織所面臨的信息安全法律及合規風險。
● 提高效率:
以等級保護爲标準開(kāi)展安全建設,讓安全建設更加體(tǐ)系化,可以從物(wù)理、網絡、主機、應用和數據多個方面成體(tǐ)系的進行安全建設,避免頭痛醫頭、腳痛醫腳,實現體(tǐ)系化的建設提高安全運維效率的成果。
發展曆程 ● 1994年《中(zhōng)華人民共和國計算機信息系統安全保護條例》(國務院147号令):第一(yī)次提出“計算機信息系統實行安全等級保護”概念。
● 1999年《計算機信息系統 安全等級保護劃分(fēn)準則》(GB17859):國家發布關于計算機信息系統安全保護等級劃分(fēn)準則強制性标準。
● 2007年《信息安全等級保護管理辦法》(公通字[2007]43号):公安部發布管理辦法,旨在加快推進、規範管理等級保護建設工(gōng)作。
● 2008年《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008):明确對于各等級信息系統的安全保護基本要求。
● 2017年《中(zhōng)華人民共和國網絡安全法》:第二十一(yī)條明确國家實行等級保護制度,落實等級保護制度已經上升到法律層面。
法律要求 《中(zhōng)華人民共和國網絡安全法》【第二十一(yī)條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。
法律解讀:國家明确實行等級保護制度,網絡運營者應按等級保護要求開(kāi)展網絡安全建設。
《中(zhōng)華人民共和國網絡安全法》【第三十一(yī)條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一(yī)旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生(shēng)、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體(tǐ)範圍和安全保護辦法由國務院制定。(CII必須落實國家等級保護制度,突出保護重點)
法律解讀:關鍵信息基礎設施必須要落實等級保護制度,并要重點保護。

等級保護建設流程

在等級保護建設整改過程中(zhōng),涉及到四個不同的角色,分(fēn)别是:建設單位、公安機關、建設服務商(shāng)、測評機構。

等保實施流程

  • 1、系統定級
  • 2、系統備案
  • 3、建設整改
  • 4、等級測評
  • 5、監督檢查

信息系統運營使用單位按照《信息安全等級保護管理辦法》和《網絡安全等級保護定級指南(nán)》,初步确定定級對象的安全保護等級,起草《網絡安全等級保護定級報告》;三級以上系統,定級結論需要進行專家評審。

運營單位:确定安全保護等級,編寫定級報告
阿裏雲:協調第三方機構爲運營單位提供輔導服務
咨詢或測評機構:輔導運營單位準備定級報告;組織專家評審(三級)

信息系統安全保護等級爲第二級以上時,備案時應當提交《網絡安全等級保護備案表》和定級報告;第三級以上系統,還需提交專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。

運營單位:準備備案材料,到當地公安機關備案
阿裏雲:協調第三方機構爲運營單位提供輔導服務
咨詢或測評機構:輔導運營單位準備備案材料和備案

依據《網絡安全等級保護基本要求》,利用自有或第三方的安全産品和專家服務,對信息系統進行安全建設和整改,同時制定相應的安全管理制度;

運營單位:建設符合等級要求的安全技術和管理體(tǐ)系
阿裏雲:提供符合等級要求必須的安全産品和服務
咨詢或測評機構:輔導運營單位進行系統安全加固和制定安全管理制度
公安機關:當地公安機關審核受理備案材料

運營使用單位應當選擇合适的測評機構,依據《網絡安全等級保護測評要求》等技術标準,定期對信息系統安全等級狀況開(kāi)展等級測評。

運營單位:準備和接受測評機構測評
阿裏雲:提供雲服務商(shāng)安全資(zī)質、雲平台通過等保的證明材料
測評機構:測評機構對系統等級符合性狀況進行測評

公安機關及其他監管部門會在整個過程中(zhōng),履行相應的監管、審核和檢查等職責。

運營單位:接受公安機關的定期檢查
公安機關:監督檢查運營單位開(kāi)展等級保護工(gōng)作

産品優勢
常見問題