前面,以《网络安全等级保护:什么是等级保护?》为题,简单介绍了一下什么是网络安全等级保护,今天我们通过整理2010和2018的材料以及国家出台的政策文件,继续探讨网络安全等级保护,今天我们要说的是网络安全等级保护的内涵。下面,我们还是从历史沿革,分别把等级保护1.0和等级保护2.0的描述,展现给大家,期盼大家对这些知识有个较全面的了解。。
什么是等级保护内涵呢?
信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据信息系统安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度:备案单位选择符合国家规定条件的测评机构开展等级测评;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查。
根据《信息安全等级保护管理办法》的规定,等级保护工作主要分为五个环节,定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节,通过定级,可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等,确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键,通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构,通过开展等级测评,可以检验和评价信息系统安全建设整改工作的成效,判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门,通过开展监督、检查和指导,维护重要信息系统安全和国家安全。
![闲话等级保护:什么是网络安全等级保护工作的内涵?]( "闲话等级保护:什么是网络安全等级保护工作的内涵?")
网络安全等级保护是对网络进行分等级保护、分等级监管,是将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。
等级保护的五个级别以及五个规定动作由《信息安全等级保护管理办法》(公通字【2007】43号)文给出,这个文件对等级保护1.0乃至2.0的工作起到了非常重要的指导作用,希望对等级保护制度有更深的了解和理解的朋友,这个政策文件是必须要读或有必要深入研究的。同时,从这文件里,我们可以解读出另一个信息,也是很多人在这方面容易被误导的一件事。那就是等级保护制度和等级保护测评两个概念,等级保护制度从文件里我们看到涉及了公安、保密、密码三部门,各个部门各司其职,三个部门又相辅相成全面覆盖我国网络安全整个行业。
公安机关负责非涉密系统的等级保护工作,也就是常规的等级保护测评的监管;保密部门负责涉密系统的等级保护工作,也就是常规的分级保护测评的监管;密码部门负责密码技术相关的保护工作,也就是所谓密码保护测评的监管。可见,等级保护测评、分级保护测评、密码测评三者工作密切配合,成为我国等级保护制度的三大支撑。等级保护制度统归就是一个制度,而工作划分则为三大方面。
原文始发于微信公众号(祺印说信安):闲话等级保护:什么是网络安全等级保护工作的内涵?
评论