![等保十问]( "等保十问")
随着网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。
等保是等级保护的简称,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。此外,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。
做好等级保护工作除了满足国家相关法律法规要求,还可以降低系统的信息安全风险,提升防护能力。
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等。
金融行业:金融监管机构、各大银行、证券、保险公司等。
医疗行业:医院、疫病控制中心、计划生育机构、医疗卫生研究机构等。
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。
过等保一般依次要经过5个阶段,分别是:定级、备案、安全建设、等级测评、监督检查。
省级:省级单位将定级备案材料交到省公安网安总队进行备案。
市级:各地级市的单位将定级备案材料交到各自地级市的网安支队进行备案。
县级:先将定级备案材料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统、平台或基础信息网络等定级对象安全等级保护状况进行检测评估。测评包含技术和管理2大层面:
技术层面,包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理层面,包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
定级为三级及以上的系统,每年至少开展一次等保测评;定级为二级的系统,建议每两年开展一次。部分行业按所在行业的要求落实测评。
系统经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步整改。建议在当年度完成整改。常见的整改项有:
1、送检单位或送检系统的安全管理制度不完善或缺失;
2、漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等;
3、安全防护设备缺失或不完善,要补齐。如云上开启管控权限的堡垒机、使用防止攻击的Web应用防火墙等。
打印测评结果报告一式四份,测评机构一份,送检系统所在单位两份,网安一份。等级保护是持续性的工作,监管单位会定期开展监督检查,等保三级定级对象每年都要开展等级保护测评工作。
联系/合作/投稿邮箱:[email protected]
![等保十问]( "等保十问")
本文始发于微信公众号(安全365):等保十问
评论