“沒有網絡安全就沒有國家安全”。近幾年我國《網絡安全法》《密碼法》《保守國家秘密法(修訂)》《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)安全法》等法律法規(guī)陸續(xù)發(fā)布實施�����,為承載我國國計民生的重要網絡信息系統(tǒng)的安全提供了法律保障�,正在實施的網絡安全等級保護、涉密信息系統(tǒng)分級保護為我國重要網絡信息系統(tǒng)的安全構筑了防線����。
“等��!笔侵妇W絡安全等級保護�。《中華人民共和國網絡安全法》(2017年6月1日起實施)第二十一條規(guī)定:國家實行網絡安全等級保護制度���。
等保1.0:
2007年6月���,公安部發(fā)布《信息安全等級保護管理辦法》(公通字[2007]43號)�����,標志著等級保護1.0的正式啟動����。
《信息系統(tǒng)安全等級保護基本要求 GB/T22239-2008》
《信息系統(tǒng)等級保護安全設計要求 GB/T25070-2010》
《信息系統(tǒng)安全等級保護測評要求 GB/T28448-2012》
等保2.0:
2019年5月13日����,國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布了3個網絡安全領域的國家標準(2019年12月1日起實施)標志著我國進入等級保護2.0時代。
《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)
《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)
《信息安全技術 網絡安全等級保護測評要求》(GB/T 28448-2019)
根據(jù)信息系統(tǒng)在國家安全����、經濟建設��、社會生活中的重要程度����;遭到破壞后對國家安全�����、社會秩序�、公共利益以及公民、法人和其他組織的合法權益的危害程度����;將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管�?偨Y下就是:保護互聯(lián)網數(shù)據(jù)的一種標準方法體系,里面規(guī)定了方方面面�。
第一級:自主保護級
第二級:指導保護級
第三級:監(jiān)督保護級
第四級:強制保護級
第五級:專控保護級
等級保護是我們國家的基本網絡安全制度�、基本國策,也是一套完整和完善的網絡安全管理體系�,《網絡安全法》第二十一條明確規(guī)定“國家實行網絡安全等級保護制度”,遵循等級保護相關標準開始安全建設是目前企事業(yè)單位的普遍要求���,也是國家關鍵信息基礎措施保護的基本要求���。
網絡安全等級保護為信息系統(tǒng)、云計算�����、移動互聯(lián)�、物聯(lián)網、工業(yè)控制系統(tǒng)等定級對象的網絡安全建設和管理提供系統(tǒng)性����、針對性、可行性的指導和服務���,幫助用戶提供定級對象的安全防護能力�,合理的規(guī)避網絡安全風險。
要做到等保����,那肯定需要測評����, 按照政策要求三級信息系統(tǒng)每年至少需要開展一次測評�;二級信息系統(tǒng)一般建議每兩年開展一次測評,但是部分行業(yè)明確要求每兩年開展一次測評��。
一個二級或三級的系統(tǒng)現(xiàn)場測評周期一般一周左右����,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,有所增減�����。小規(guī)模安全整改2-3周,出具報告時間一周�����,整體持續(xù)周期1-2個月���。如果整改不及時或牽涉到購買設備����,時間不好說�����,但總的要求一年內要完成��。
“分保”是指涉密信息系統(tǒng)分級保護�������!吨腥A人民共和國保守國家秘密法》(2010年4月29日修訂,2010年10月1日起實施)第二十三條規(guī)定:存儲�、處理國家秘密的計算機信息系統(tǒng)(簡稱涉密信息系統(tǒng))按照涉密程度實行分級保護。
涉密信息系統(tǒng)的分級保護依據(jù)《保守國家秘密法》《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》(國保發(fā)[2005]16號)等法律法規(guī)開展。
涉密信息系統(tǒng)的等級分為秘密級�、機密級、絕密級三個級別����。
等級保護的重點保護對象是網絡和信息系統(tǒng),是非涉密系統(tǒng)的安全防護標準�。
分級保護是所有涉及國家秘密的信息系統(tǒng),是涉密系統(tǒng)的安全防護標準�。
等級保護分5個級別(由低到高):一級(用戶自主保護級)�、二級(系統(tǒng)審計保護級)、三級(安全標記保護級)�、四級(結構化保護級)、五級(訪問驗證保護級)��。
分級保護分3個級別(由低到高):秘密級�����、機密級、絕密級�。
等級保護由公安部門監(jiān)管,分級保護由國家保密局監(jiān)管��。
等級保護:信息系統(tǒng)等級保護工作包括系統(tǒng)定級����、系統(tǒng)備案、安全建設整改�、等級測評和監(jiān)督檢查五個環(huán)節(jié)。
分級保護:涉密信息系統(tǒng)分級保護工作包括系統(tǒng)定級�����、方案設計���、工程實施�、系統(tǒng)測評����、系統(tǒng)審批、日常管理�����、測評與檢查和系統(tǒng)廢止八個環(huán)節(jié)。