“没有网络安全就没有国家安全”。近几年我国《网络安全法》《密码法》《保守国家秘密法(修订)》《关键信息基础设施安全保护条例》《数据安全法》等法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,正在实施的网络安全等级保护、涉密信息系统分级保护为我国重要网络信息系统的安全构筑了防线。
“等保”是指网络安全等级保护。《中华人民共和国网络安全法》(2017年6月1日起实施)第二十一条规定:国家实行网络安全等级保护制度。
等保1.0:
2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。
《信息系统安全等级保护基本要求 GB/T22239-2008》
《信息系统等级保护安全设计要求 GB/T25070-2010》
《信息系统安全等级保护测评要求 GB/T28448-2012》
等保2.0:
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施)标志着我国进入等级保护2.0时代。
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
第一级:自主保护级
第二级:指导保护级
第三级:监督保护级
第四级:强制保护级
第五级:专控保护级
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”,遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提供定级对象的安全防护能力,合理的规避网络安全风险。
要做到等保,那肯定需要测评, 按照政策要求三级信息系统每年至少需要开展一次测评;二级信息系统一般建议每两年开展一次测评,但是部分行业明确要求每两年开展一次测评。
一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
“分保”是指涉密信息系统分级保护。《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。
涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。
等级保护的重点保护对象是网络和信息系统,是非涉密系统的安全防护标准。
分级保护是所有涉及国家秘密的信息系统,是涉密系统的安全防护标准。
等级保护分5个级别(由低到高):一级(用户自主保护级)、二级(系统审计保护级)、三级(安全标记保护级)、四级(结构化保护级)、五级(访问验证保护级)。
分级保护分3个级别(由低到高):秘密级、机密级、绝密级。
等级保护由公安部门监管,分级保护由国家保密局监管。
等级保护:信息系统等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。
分级保护:涉密信息系统分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节。
上一篇:天畅信息:关保、密评 | 守护信息安全,筑牢网络安全防线
下一篇:场景痛点!应用关联审计视角下的数据库审计安全