1樓:修心養性認真
資訊保安等級保護是指對****、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。山東省軟體評測中心就包含此方面的業務,希望能夠幫到您。
十大重要標準
計算機資訊系統安全等級保護劃分準則 (gb 17859-1999) (基礎類標準)
資訊系統安全等級保護實施指南 (gb/t 25058-2010) (基礎類標準)
資訊系統安全保護等級定級指南 (gb/t 22240-2008) (應用類定級標準)
資訊系統安全等級保護基本要求 (gb/t 22239-2008) (應用類建設標準)
資訊系統通用安全技術要求 (gb/t 20271-2006) (應用類建設標準)
資訊系統等級保護安全設計技術要求 (gb/t 25070-2010) (應用類建設標準)
資訊系統安全等級保護測評要求 (應用類測評標準)
資訊系統安全等級保護測評過程指南 (應用類測評標準)
資訊系統安全管理要求 (gb/t 20269-2006) (應用類管理標準)
資訊系統安全工程管理要求 (gb/t 20282-2006) (應用類管理標準)
其它相關標準
gb/t 21052-2007 資訊保安技術 資訊系統物理安全技術要求
gb/t 20270-2006 資訊保安技術 網路基礎安全技術要求
gb/t 20271-2006 資訊保安技術 資訊系統通用安全技術要求
gb/t 20272-2006 資訊保安技術 作業系統安全技術要求
gb/t 20273-2006 資訊保安技術 資料庫管理系統安全技術要求
gb/t 20984-2007 資訊保安技術 資訊保安風險評估規範
gb/t 20285-2007 資訊保安技術 資訊保安事件管理指南
gb/z 20986-2007 資訊保安技術 資訊保安事件分類分級指南
gb/t 20988-2007 資訊保安技術 資訊系統災難恢復規範
其中資訊系統安全等級保護測評要求 (應用類測評標準)
資訊系統安全等級保護測評過程指南 (應用類測評標準)
這兩個標準就是具體的評價準則!
希望能幫到您!
2樓:匿名使用者
資訊保安等級保護制度是國家資訊保安的基本制度,早期有《計算機資訊系統 安全等級保護劃分準則》、《資訊保安技術 資訊系統安全等級保護實施指南》、《資訊保安技術 資訊系統安全保護等級定級指南》、《資訊保安技術 資訊系統安全等級保護基本要求》等國家標準。
3樓:天磊諮詢
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路
安全管理體系。遵循等級保護相關標準開始安全建設是目前企事業單位的普遍要求,也是國家關鍵資訊基礎措施保護的基本要求。
企業申請等級保護的原因:
1、通過等級保護工作發現單位資訊系統存在的安全隱患和不足,進行安全整改之後,提高資訊系統的資訊保安防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於資訊保安的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求檔案的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
企業辦理等級保護工作的流程:
定級備案
調研梳理
初步測評
整改建設
正式測評
4樓:大肥莎的洗澡水
網路安全是我國網路強國戰略的重要組成部分,網路安全等級保護是落實網路安全的一項基礎性重點工作。2023年6月1日,《中華人民共和國網路安全法》正式實施,明確「國家實行網路安全等級保護制度」,標誌著網路安全等級保護工作步入2.0時代。
2023年5月13日,《網路安全等級保護基本要求》(gb/t 22239-2019)等新版技術標準發布,開啟了等保2.0工作新篇章,對保障網路安全,維護公共利益、社會秩序和****具有重要作用。今天時代新威為您總結下關於等級保護工作的一些基礎性知識(上篇),方便大家對等級保護工作有個快速的認識和了解。
一、什麼是等級保護?
答:網路安全等級保護是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。
解讀:等級保護是對專有資訊及資訊系統進行分等級保護,對其中的資訊保安產品進行按等級管理,對發現的安全事件分等級響應和處置。兩個物件,三重管理。
二、等級保護工作具體步驟是怎樣的?
答:根據資訊系統等級保護相關標準,等級保護工作總共分五個階段,分別為:1)是資訊系統定級;2)是資訊系統備案;3)是系統安全建設;4)是資訊系統開始等級測評;5)主管單位定期開展監督檢查。
解讀:系統定級和備案工作是等級保護工作開展的前提,也是等級保護工作最先要做的內容,系統安全建設可以先做也可以在等級測評之後再進行,第三和第四步沒有嚴格意義上的先後順序之分。
三、開展等級保護工作的相關法律法規或檔案要求?
答:《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27號)明確要求我國資訊保安保障工作實行等級保護制度;《資訊保安等級保護管理辦法》的通知(公通字[2007]43號)具體部署了實施資訊保安等級保護工作的操作辦法;《關於推動資訊保安等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號)加快推動了等級保護工作的發展;《中華人民共和國網路安全法》第21條明確了國家實行網路安全等級保護制度。
解讀:網路安全法的出台將等級保護工作以法律形式確定下來,等級保護工作至此以法律的形式確定為國家網路安全的基本網路安全制度,不開展等級保護工作就是在違法,大家一定要認識到問題的嚴重性。
四、等級保護分為幾個等級?
答:分為五個等級,分別為第一級(自主保護級)、第二級(指導保護級)、第**(監督保護級)、第四級(強制保護級)、第五級(專控保護級)。系統的重要程度從1-5級逐級公升高。
我們在日常工作中需要進行等級保護測評的系統是2-4級,經常遇到的是二級和**資訊系統,一級系統要求比較低,不需要進行測評,如果某個系統達到五級系統,那麼這個系統很可能就已經涉密了,就不是等級保護範疇了,所以在技術要求裡也沒有五級的相關標準要求。
五、去**進行資訊系統的定級備案工作?
答:全國絕大部分地方規定:各地級市的單位將定級資料交給各自地級市的網安支隊,省級單位將資料交給省公安網安總隊,特定行業有要求的另說,也有部分地方是先將資料交到區縣網安大隊,再由區縣網安大隊轉交地級市網安支隊進行備案。
解讀:系統定級資料填寫完成之後列印兩份,首頁蓋章,電子檔準備乙份,帶著這些資料去當地公安網安部門進行系統備案,至於到底是哪個網安請根據各地的要求,省、市、區縣都有可能。
六、什麼是等級保護測評?
答:等級保護測評指的是等級測評機構依據國家資訊保安等級保護制度規定,按照有關管理規範和技術標準,對非涉及國家秘密資訊系統安全等級保護狀況進行檢測評估的活動。
解讀:測評的主體是測評機構,測評的物件是非涉密的資訊系統。
安全是發展的前提,發展是安全的保障。沒有網路安全,資訊社會將成為黑暗中的廢墟。時代新威作為連續多年參與護網的安全公司,在行動中獲得了多方認可。
等級保護2.0的發布必將對我國網路安全產業帶來新的機遇與挑戰,時代新威作為專業的智慧型資訊系統審計專家,在等級保護2.0時代也將發揮越來越重要的作用,體現出越來越大的實際應用價值。
網路安全是我國網路強國戰略的重要組成部分,網路安全等級保護是落實網路安全的一項基礎性重點工作。2023年6月1日,《中華人民共和國網路安全法》正式實施,明確「國家實行網路安全等級保護制度」,標誌著網路安全等級保護工作步入2.0時代。
2023年5月13日,《網路安全等級保護基本要求》(gb/t 22239-2019)等新版技術標準發布,開啟了等保2.0工作新篇章,對保障網路安全,維護公共利益、社會秩序和****具有重要作用。今天時代新威為您總結下關於等級保護工作的一些基礎性知識(下篇),方便大家對等級保護工作有個快速的認識和了解。
七、資訊系統的測評多久需要測一次?
答:四級資訊系統要求每半年至少開展一次測評;**資訊系統要求每年至少開展一次測評;二級資訊系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標準要求,如教育行業明確二級系統兩年做一次測評。
解讀:二級系統為什麼建議是兩年呢?
一、系統相對**沒那麼重要,所以時間上相對長點;
二、系統相對沒有定級的系統更重要些,且往往有些二級系統也非常重要,儲存了大量重要的資訊資料(其實本來是定**的,種種原因定了二級),不去做測評,風險太大。
八、等級保護測評一般多長時間能測完?
答:現場測評週期一般一周左右,具體看資訊系統數量及資訊系統的規模,有所增減。小規模安全整改2-3周,出具報告時間一周,整體持續週期1-2個月。
如果整改不及時或牽涉到購買裝置,時間上會相對較長。
解讀:理論上首次測評之後出具測評報告專案就結束了,但是實際情況好多是客戶接受不了結論不符合的報告,所以很多時候是等客戶整改後,測評機構再進行複測,複測完成後出具最終的測評報告。所以在首次測評後需要抓緊進行安全整改,整改的快自然結束的快,所以使用者單位想早點結束的話就得把安全整改抓緊落實完成。
九、等級保護測評的費用是多少?
答:測評的費用首先是按照資訊系統來算,不是按照乙個單位,第二不同等級的測評費用不一樣。費用每個省市情況不一樣,通常每個省市都有自己的乙個**區間。
整體**的規律是系統等級越高測評費用越多,系統規模越大測評費用越高,具體**和當地測評機構進行確定。
解讀:測評的費用按照系統個數和系統的等級去核算,等級越高的相對費用越高,具體請根據每個省的**來看。
十、使用者單位需要開展等級保護測評,找誰去做?
答:根據目前最新的測評機構管理辦法規定:具有有效的資訊保安等級保護測評機構推薦證書且沒有被停業整頓的測評機構均有資格開展等級測評工作。
解讀:測評必須是有資質有資格的測評公司去做,有些廠商或者整合商號稱能做測評,他們可能是有這個技術水平,但是沒有這個資格和資質,另外現在全國放開了,理論上想去**開展業務都可以。
十一、等級保護測評後的最終結論分為哪幾種?
答:測評最終結論分為不符合、基本符合和符合三種。除了結論之外還有具體得分,如82分。
解讀:測評的結論理論上有符合這種結論,就是滿分100分的情況,但是實際上很難達到,也幾乎沒有出現過,如果你們家測評達到100分了,或者你經常看到有人得100分,那一定是這家測評機構不負責任地在測評。一方面是沒有絕對的安全,另一方面等保的一些條款確實很難達到或者不適用。
初次做等保能達到65-75之間就已經不錯了。
十二、等級保護測評結論不符合是不是等級保護工作就白做了?
答:等級保護測評結論不符合表示目前該資訊系統存在高危風險或整體安全性較差,不符合等保的相應標準要求。但是這並不代表等級保護工作白做了,即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準。
解讀:測評結論不符合不是最重要的,最重要的是我們已經發現了問題,下面就需要及時對這些問題特別是高危風險及時進行安全整改,消除隱患,降低風險。
安全是發展的前提,發展是安全的保障。沒有網路安全,資訊社會將成為黑暗中的廢墟。時代新威作為連續多年參與護網的安全公司,在行動中獲得了多方認可。
等級保護2.0的發布必將對我國網路安全產業帶來新的機遇與挑戰,時代新威作為等保全面解決方案專家,在等級保護2.0時代也將發揮越來越重要的作用,體現出越來越大的實際應用價值。
簡述什麼是資訊保安等級保護 資訊系統的安全等級保護具體分為哪幾級
資訊保安等級保護,是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國 美國等很多國家都存在的一種資訊保安領域的工作。資訊系統的安全等級劃分 第一級,資訊系統受到破壞後,會對公民 法人和其他組織的合法權益造成損害,但不損害 社會秩序和公共利益。第一級資訊系統運營 使用單位應當依據國家有關...
資訊保安等級保護十三大重要標準是什麼
計算機資訊系統安全等級保護劃分準則 gb 17859 1999 基礎類標準 資訊系統安全等級保護實施指南 gb t 25058 2010 基礎類標準 資訊系統安全保護等級定級指南 gb t 22240 2008 應用類定級標準 資訊系統安全等級保護基本要求 gb t 22239 2008 應用類建設...
安全風險等級顏色表示什麼顏色表示安全
綠色表示安全。紅色 用來標誌禁止 停止和消防,如訊號燈 訊號旗 機器上的緊急停機按鈕等都是用紅色來表示 禁止 的資訊。黃色 用來標誌注意危險。如 當心觸電 注意安全 等。綠色 用來標誌安全無事。如 在此工作 已接地 等。藍色 用來標誌強制執行,如 必須帶安全帽 等。黑色 用來標誌影象 文字元合和警告...