網(wǎng)絡(luò)安全等級保護(hù)是我國信息安全保障的基本法律、基本制度、基本策略和基本方法��。
網(wǎng)絡(luò)安全等級保護(hù)是指對國家秘密信息����、法人和其他組織及公民的專有信息以及公開信息和存儲���、傳輸�����、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)���,對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理����,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)�����、處置�。
網(wǎng)絡(luò)安全等級保護(hù)工作是對等級保護(hù)對象按照重要性等級分級別進(jìn)行保護(hù)的一種工作。等級保護(hù)對象的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)選擇符合國家要求的測評機(jī)構(gòu)�����,依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)�����,定期對信息系統(tǒng)開展測評工作����。
等級保護(hù)對象?是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象�,通常是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集��、存儲��、傳輸��、交換�����、處理的系統(tǒng)���,主要包括基礎(chǔ)信息網(wǎng)絡(luò)�����、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源�����、物聯(lián)網(wǎng)(IoT)��、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等���。
南京國云電力有限公司作為獲得等級保護(hù)測評機(jī)構(gòu)認(rèn)定的企業(yè)���,在等級保護(hù)服務(wù)實(shí)踐中形成了等保全生命周期服務(wù)����,從定級備案咨詢�、安全建設(shè)整改、等級保護(hù)測評���、到監(jiān)督檢查整改均能夠提供專業(yè)的服務(wù)����,在輔助企業(yè)完成等級保護(hù)建設(shè)工作的同時����,實(shí)際提升系統(tǒng)運(yùn)營使用單位的信息安全防護(hù)能力。
根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定�����, 等級保護(hù)作主要分為五個環(huán)節(jié)��,分別是定級�����、備案、建設(shè)整改�、等級測評和監(jiān)督儉查。開展網(wǎng)絡(luò)安全等級保護(hù)工作�,涉及公安機(jī)關(guān)、保密部門�����、密碼管理部門���、網(wǎng)信部門等職能部門�����, 以及網(wǎng)絡(luò)運(yùn)營者�、第三方測評機(jī)構(gòu)����、網(wǎng)絡(luò)安全企業(yè)���、專家隊伍等�。各方應(yīng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求, 按照職責(zé)和分工���, 找準(zhǔn)各自定位�, 密切配合�, 共同落實(shí)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)制度, 依法維護(hù)網(wǎng)絡(luò)安全��。開展網(wǎng)絡(luò)安全等級保護(hù)工作的流程如下�。
一是定級。網(wǎng)絡(luò)運(yùn)營者根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)定級指南》擬定網(wǎng)絡(luò)的安全保護(hù)等級��,組織召開專家評審會���,對初步定級結(jié)果的合理性進(jìn)平審�,出具專家評審意見����, 將初步定級結(jié)果上報行業(yè)主管部門進(jìn)行審核。
二是備案��。網(wǎng)絡(luò)運(yùn)營者將網(wǎng)絡(luò)定級材料向公安機(jī)關(guān)備案����,公安機(jī)關(guān)對定級準(zhǔn)確�����、符合要求的網(wǎng)絡(luò)發(fā)放備案證明�。
三是等級測評��。網(wǎng)絡(luò)運(yùn)營者選擇符合國家規(guī)定條件的測評機(jī)構(gòu)�����,對第三級以上網(wǎng)絡(luò)( 含國家關(guān)鍵信息基礎(chǔ)設(shè)施) 每年開展等級測評����, 查找發(fā)現(xiàn)問題隱患, 提出整改意見��。
四是安全建設(shè)整改�。網(wǎng)絡(luò)運(yùn)營者根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級,按照國家標(biāo)準(zhǔn)開展安全建設(shè)整改��。
五是監(jiān)督檢查����。公安機(jī)關(guān)每年對網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)安全等級保護(hù)工作的情況和網(wǎng)絡(luò)的安全狀況實(shí)施執(zhí)法檢查。
網(wǎng)絡(luò)安全等級保護(hù)測評工作( 下稱“ 等級測評" ) 是指測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定, 按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�����, 對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動����。等級測評包括標(biāo)準(zhǔn)符性評判活動和風(fēng)險評估適動�, 即依據(jù)網(wǎng)絡(luò)安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn), 按照特定方法對網(wǎng)絡(luò)的安全保護(hù)能力進(jìn)行科學(xué)��、公正的綜合評判過程���。
根據(jù)《網(wǎng)絡(luò)安全法》和《信息安全等級保護(hù)管理辦法》的規(guī)定��, 網(wǎng)絡(luò)按照《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)安全建設(shè)完成后�����, 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)選擇符合規(guī)定條件的測評機(jī)構(gòu)�, 定期對網(wǎng)絡(luò)的安全保護(hù)狀況開展等級測評��。
通過測評����, 一是可以發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問題�����, 掌握網(wǎng)絡(luò)的安全狀況���、排查網(wǎng)絡(luò)的安全隱患和薄弱環(huán)節(jié)、明確網(wǎng)絡(luò)安全建設(shè)整改需求�, 二是衡量網(wǎng)絡(luò)的安全保護(hù)管理措施和技術(shù)措施是否符合等級保護(hù)的基本要求、是否具備了相應(yīng)的安全保護(hù)能力���。等級測評結(jié)果也是公安機(jī)關(guān)等安全監(jiān)管部門進(jìn)行監(jiān)督�����、檢查��、指導(dǎo)的參照�。
1.安全建設(shè)整改前
在開展網(wǎng)絡(luò)安全建設(shè)整改之前���,網(wǎng)絡(luò)運(yùn)營者可以通過等級測評���,分析判斷目前網(wǎng)絡(luò)所采取的安全措施與等級保護(hù)標(biāo)準(zhǔn)要求之間的差距,分析安全方面存在的問題,查找網(wǎng)絡(luò)安全保護(hù)建設(shè)整改需要解決的問題�����,形成安全建設(shè)整改的安全需求�。
2.安全建設(shè)整改后
網(wǎng)絡(luò)安全建設(shè)整改完成后�,網(wǎng)絡(luò)運(yùn)營者應(yīng)通過等級測評對網(wǎng)絡(luò)的等級保護(hù)措施落實(shí)清況與《基本要求》的要求之間的符合程度進(jìn)行評測,形成網(wǎng)絡(luò)安全等級測評報告���,如果發(fā)現(xiàn)問題將繼續(xù)整改����。
網(wǎng)絡(luò)運(yùn)行維護(hù)期間���,應(yīng)定期進(jìn)行安全等級測評����,及時發(fā)現(xiàn)和分析網(wǎng)絡(luò)存在的安全問題��?�!豆芾磙k法》要求網(wǎng)絡(luò)建設(shè)完成后���,網(wǎng)絡(luò)運(yùn)營者當(dāng)選擇符合規(guī)定條件的測評機(jī)構(gòu)����,依據(jù)《測評要求》等技術(shù)標(biāo)準(zhǔn),定期對網(wǎng)絡(luò)的安全保護(hù)狀況開展等級測評��。第二級(含)以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評�,重要部門的第二級網(wǎng)絡(luò)可以參上述要求開展等級測評工作。
等級保護(hù)測評過程包括四個階段�����。
●測評準(zhǔn)備階段
被測單位向測評機(jī)構(gòu)提出測評申請���,測評機(jī)構(gòu)對被測單位的申請材料進(jìn)行審查����,在雙方達(dá)成共識的情況下�����,雙方簽訂保密協(xié)議��、委托書��、合同。
●方案編制階段
測評機(jī)構(gòu)成立項目組后�,工作人員到被測單位了解被測評系統(tǒng)的信息,編寫信息系統(tǒng)業(yè)務(wù)調(diào)查報告�����,信息系統(tǒng)規(guī)劃設(shè)計分析報告�����,與被測單位共同討論評測方案�,評測工作計劃�����,達(dá)成共同認(rèn)可的評測方案和評測工作計劃����。
●現(xiàn)場測評階段
在進(jìn)入現(xiàn)場檢測測試階段時,測評機(jī)構(gòu)項目組成員在參照系統(tǒng)體系建設(shè)相關(guān)資料(系統(tǒng)建設(shè)方案����、技術(shù)資料、管理資料����、日常維護(hù)資料)后�����,對測評單位進(jìn)行安全管理機(jī)構(gòu)檢查�����、安全管理制度檢查��、系統(tǒng)備案依據(jù)檢查���、技術(shù)要求落實(shí)情況測評、定期評估執(zhí)行情況檢查���、等級響應(yīng)�、處理檢查�、教育和培訓(xùn)檢查,生成管理檢查記錄��、技術(shù)檢查記錄和核查報告����。
●分析與報告編制階段
測評機(jī)構(gòu)最后進(jìn)行核查結(jié)果分析�����,等級符合性分析�����、專家評審���,生成等級測評報告和安全建議報告
2019年5月13日下午,《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(以下簡稱:等保2.0)正式發(fā)布����,并于2019年12月1日起正式實(shí)施�����,標(biāo)志著等級保護(hù)標(biāo)準(zhǔn)正式進(jìn)入2.0時代�。等保2.0在1.0的基礎(chǔ)上更加注重全方位主動防御、動態(tài)防御��、整體防控和精準(zhǔn)防護(hù)�����,實(shí)現(xiàn)了對云計算、大數(shù)據(jù)�����、物聯(lián)網(wǎng)�、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象全覆蓋,以及除個人及家庭自建網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋���。
等級保護(hù)2.0的測評內(nèi)容分為安全物理環(huán)境�、安全通信網(wǎng)絡(luò)�、安全區(qū)域邊界、安全計算環(huán)境���、安全管理中心�、安全管理制度�、安全管理機(jī)構(gòu)、安全人員管理����、安全建設(shè)管理、安全運(yùn)維管理十個層面�����。
等級保護(hù)
風(fēng)險評估
解決方案
