信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。(引自《信息安全等级保护管理办法》(公通字[2007]43号))
随着《中华人民共和国网络安全法》的正式发布和施行,“信息安全等级保护”被更名为“网络安全等级保护”。在《网络安全等级保护条例(征求意见稿)》中也指出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。”
一、等级保护发展历程
1994年
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),首次提出信息系统要实行等级保护,标志着我国等级保护工作的开始
2003年
中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),强调信息安全等级保护要制度化、规范化
2007年
公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室等四部委发布了《信息安全等级保护管理办法》(公通字[2007]43号),自此正式进入“等保1.0”建设阶段
2017年
《中华人民共和国网络安全法》正式施行,明确提出“国家实行网络安全等级保护制度”,标志着等级保护制度从安全规范上升为国家法律要求
2019年
《信息安全技术 网络安全等级保护基本要求》( GB/T 22239一2019 )等一系列新国标正式发布,正式迎来“等级保护的2.0时代”
二、等保建设流程
网络安全等级保护建设流程包括定级、备案、建设整改、等级测评、监督检查五个阶段,天融信可在各阶段提供安全咨询服务,确保用户信息系统满足国家监管要求。等级保护建设流程中涉及角色和分工如下所示:
|
定级
|
备案
|
建设整改
|
等级测评
|
监督检查
|
客户单位
|
确定系统安全保护等级,填写定级备案表等
|
持有填写好的备案材料到当地公安机关备案
|
按等保要求建设或进行整改
|
测评机构对系统进行测评,出具测评结果报告
|
测评结果交于当地公安机关,配合完成检查
|
公安机关
|
|
当地公安机关受理备案材料
|
|
|
公安机关监督检查受理单位是否按要求开展等保工作
|
天畅信息
|
定级咨询服务
|
协助备案服务
|
风险评估与差距分析服务、安全规划与整改方案设计服务、建设整改集成实施服务等
|
协助测评服务
|
安全运维保障服务
|
测评机构
|
|
|
|
按等保要求进行测评,并出具测评报告
|
|
三、等级保护整体方案设计
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。天融信作为全国信息安全标准化技术委员会(TC260)等多个标准化组织的成员单位,积极参与《网络安全等级保护安全设计技术要求》等系列国家标准、《金融行业网络安全等级保护实施指引》等系列行业标准的编制,为构建完善的网络安全标准体系,推动网络安全产业发展贡献企业力量。25年来,天融信专注于信息安全领域,基于丰富网络安全建设经验,协助各行业客户顺利完成等级保护建设各阶段工作,为用户建立安全、合规的信息安全保障体系。
