服务热线

020-38921330

首页 > 新闻资讯 > 行业新闻

天畅信息:等保、分保 | 守护信息安全,筑牢网络安全防线

2022-8-10 0:00:00浏览量:200编辑:管理员来源:天畅

“没有网络安全就没有国家安全”。近几年我国《网络安全法》《密码法》《保守国家秘密法(修订)》《关键信息基础设施安全保护条例》《数据安全法》等法律法规陆续发布实施,为承载我国国计民生的重要网络信息系统的安全提供了法律保障,正在实施的网络安全等级保护、涉密信息系统分级保护为我国重要网络信息系统的安全构筑了防线。


等保
1、什么是等保


“等保”是指网络安全等级保护。《中华人民共和国网络安全法》(2017年6月1日起实施)第二十一条规定:国家实行网络安全等级保护制度。



2、等保的发展历程


等保1.0:

2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。

主要标准:

《信息系统安全等级保护基本要求 GB/T22239-2008》

《信息系统等级保护安全设计要求 GB/T25070-2010》

《信息系统安全等级保护测评要求 GB/T28448-2012》


等保2.0:

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施)标志着我国进入等级保护2.0时代。


主要标准:

《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)

《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)



3、等保的级别


根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。总结下就是:保护互联网数据的一种标准方法体系,里面规定了方方面面。


等级保护分为五级:

第一级:自主保护级

第二级:指导保护级

第三级:监督保护级

第四级:强制保护级

第五级:专控保护级


4、为什么要做等保?


01

等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”,遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。


02

网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提供定级对象的安全防护能力,合理的规避网络安全风险。


5、等保2.0与等保1.0的差异


6、信息安全等级测评


要做到等保,那肯定需要测评, 按照政策要求三级信息系统每年至少需要开展一次测评;二级信息系统一般建议每两年开展一次测评,但是部分行业明确要求每两年开展一次测评。

一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。





分保

1、什么是分保


“分保”是指涉密信息系统分级保护。《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(简称涉密信息系统)按照涉密程度实行分级保护。

2、分保的发展


涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。

3、分保的级别


涉密信息系统的等级分为秘密级、机密级、绝密级三个级别。




等保与分保的区别


适用对象不同

等级保护的重点保护对象是网络和信息系统,是非涉密系统的安全防护标准。

分级保护是所有涉及国家秘密的信息系统,是涉密系统的安全防护标准。


分级不同

等级保护分5个级别(由低到高):一级(用户自主保护级)、二级(系统审计保护级)、三级(安全标记保护级)、四级(结构化保护级)、五级(访问验证保护级)。

分级保护分3个级别(由低到高):秘密级、机密级、绝密级。


监管部门不同

等级保护由公安部门监管,分级保护由国家保密局监管。


工作内容不同

等级保护:信息系统等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。

分级保护:涉密信息系统分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节。