官方定義:等級保護是根據信息和信息載體的重要性對其進行保護的壹種工作。是指對國家重要信息、法人、其他組織和公民的專有信息、公共信息以及存儲、傳輸和處理這些信息的信息系統進行分級安全保護,對信息系統中使用的信息安全產品進行分級管理,對信息系統中的信息安全事件進行分級響應和處置。
簡單來說,就是針對涉及互聯網的相關系統,按照壹定的技術標準進行分級,並按照相應等級的相關要求對系統進行全面的檢查和整改,盡可能降低系統風險,增強對境外網絡病毒、黑客組織和敵對國家的防護能力和自救能力,實現互聯網系統的安全穩定。
壹般來說,公司或單位都需要使用網絡,但網絡上有很多壞人。為了避免被騙、被騙、被毒、被盜、被搶、被攻擊,我們需要檢查壹下自己家的院墻(設備、五金),看看有沒有縫隙。我們需要檢查評估我們的保鏢(系統軟件),看他們能不能打,有沒有內奸,有沒有叛徒。
為什麽要做等級保護?
1.從法律要求來看,網絡安全等級保護是國家信息安全的基本制度、策略和方法。《中華人民共和國網絡安全法》明確規定,信息系統運營者和使用者應當按照網絡安全等級保護制度的要求履行安全保護義務,拒不履行的,將受到相應處罰。
換句話說,如果不開展這樣的保險工作,就相當於違法了。
2.從行業要求來看,這類保險已經成為很多行業的必需品。許多行業主管部門明確要求機構的信息系統開展此類安全工作,如金融、電力、廣電、醫療、教育等行業。
3.從安全需求來看,信息系統運營者和用戶通過開展維護工作,可以發現系統中的隱患和不足,並可以通過安全整改提高系統的安全防護能力,降低被攻擊的風險。
等級保護分為五個過程。
第壹步:系統分級。調查業務、資產、安全技術和安全管理,確定分級體系,編寫分級報告,提供分級協助服務,協助用戶完成分級報告,組織專家評審。
第二步:系統歸檔。持分級報告和備案表到當地公安網監備案。全雲在線提供備案指導服務,輔導用戶準備材料,完成備案。
第三步:建設整改。按照分級要求和標準,對信息系統進行整改和加強。全雲在線可以幫助用戶加強系統的安全性,協助用戶構建安全管理體系,提供符合合規要求的安全產品。
第四步:等級評定。評估機構對信息系統水平進行評估,並形成評估報告。全雲在線提供平等保險評價服務,提供阿裏雲平臺合規資質證書,指導用戶評價整改。整改後,由評估機構對體系層面合規性進行評估,並出具評估報告。
第五步:合規監督檢查。將測評報告提交給當地公安網監,用戶將配合完成檢查。全雲在線將協助客戶進行檢查和整改。最後,公安機關將對等級保護工作進行監督檢查。
其中,“系統分級”分為五個等級,分別是:自主保護(1級)、引導保護(2級)、監督保護(3級)、強制保護(4級)、特殊控制保護(5級)。
分級的因素:被侵害後對被侵害對象的侵害程度。
被侵權的對象分為三類:公民、法人和其他組織;公共秩序和公共利益;國家安全。
對被侵權客體的侵權程度:
第壹級(獨立保護級)會損害公民、法人和其他組織的合法權益,但不會損害國家安全、社會秩序和公共利益。
第二層次(引導保護層次)會對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成損害,但不會危害國家安全。
第三級(監督保護級)會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級)會對社會秩序和公共利益,或者對國家安全造成特別嚴重的損害。
第五級(專屬控制保護級)會對國家安全造成特別嚴重的損害。
侵權程度分類:
壹般損害:工作職能部分受影響,業務能力下降,但主要職能的執行不受影響,發生輕微法律問題,財產損失較低,社會不良影響有限,對其他組織和個人造成的損害較低。
損害嚴重:工作職能受到嚴重影響,業務能力明顯下降,主要職能執行受到嚴重影響,導致法律問題嚴重,財產損失高,社會不良影響廣,對其他組織和個人造成嚴重損害。
特別嚴重損害:工作功能受到嚴重影響或者喪失運動能力,業務能力嚴重下降和或者功能無法履行,出現極其嚴重的法律問題,財產損失極高,社會不良影響廣泛,對其他組織和個人造成非常嚴重的損害。
分級的過程:
確定放坡對象
初步確定分級對象
專家評審
經主管部門批準
備案審計
作為評分對象的信息系統應具備以下基本特征:
有明確的安全責任主體;承載相對獨立的業務應用;包含多個相互關聯的資源;工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。
其中,場獲取/執行、場控制、過程控制等要素應作為壹個整體對象進行評分,各要素不應單獨評分;生產管理因素可以單獨分級。
對於大型工業控制系統,可以按照系統功能、責任主體、控制對象、生產廠家等劃分為若幹個分級對象。
等級保護就像體檢壹樣。
有的人偶爾做壹次體檢,有的人壹年壹次,兩年壹次,三年壹次,甚至五年壹次。妳不能說做的頻率越高就越容易出問題。壹定是頻率越高越不容易出問題。這就涉及到不同人對身體健康的要求。
相應的三級業務系統評價每年做壹次,二級業務系統評價每兩年做壹次。
這和對網絡安全的要求極高、極高、高、壹般、差是壹樣的。體檢多了,及時發現問題,盡早解決。
然後體檢的時候壹定會檢查我們保險對應的物理、應用、數據、主機、網絡。妳不能說這些不重要,所以重要性可想而知。
為什麽要等保險?這和妳要體檢的原因是壹樣的。
妳擔心自己的健康問題,所以要花錢主動去體檢。等保險怎麽辦?待保就是國家明文規定妳要體檢。不體檢就違法了。如果妳違反了法律,妳將受到懲罰。處罰之後還是要體檢的。
工作流程:
預約掛號(預評估工作)-看醫生描述清楚癥狀(信息系統安排)-醫生可以根據描述判斷癥狀(專家評估環節)-檢查哪裏有問題(評估機構可以看到問題出在哪裏)-建立病歷(退出評估報告)-是否住院觀察(差距整改階段)。
通過保險後,會有年審記錄證明
某月某日至某月某日,對某單位二級或三級信息系統進行年度等級評估。
備案證明和年審備案證明由公安部蓋章,個人無法在網上查詢其備案和評估情況。只能委托評估公司進行查詢。
如需保險公估服務,可後臺私信。露露科技整合雲安全產品技術優勢,聯合優質等安咨詢、等安測評合作資源,為等安項目提供壹站式服務,全面覆蓋等安等級、備案、施工整改、測評階段,高效通過等安測評,落實網絡安全等級保護工作。