日期:2022-02-26 阅读数:1075
什么是等级保护
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在很多国家都存在的一种信息安全领域的工作。
1994年我国颁布的《计算机信息系统安全保护条例》(147号令)首次提出“等级保护”的概念,之后2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着我国信息安全等级保护管理工作的正式启动。等级保护工作具体包括定级备案、建设整改、等级测评和监督检查这几个重要阶段。为了指导用户完成等级保护这几个重要阶段的工作,在2008年至2012年期间陆续发布了等级保护的一些主要标准,构成等级保护1.0的标准体系。
2017年,《中华人民共和国网络安全法》的正式实施,再到2019年出台的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护安全设计技术要求》和《信息安全技术 网络安全等级保护测评要求》标志着我国等级保护工作步入2.0时代。
等级保护工作流程及角色分工 等级保护工作的首要环节是定级,确定定级对象后初步确认安全保护等级,经专家评审和主管部门审核; 等级保护的核心是到当地公安机关网关部门进行备案,获取备案证明; 等级保护的关键是建设整改,参照相关标准及规范要求,对信息系统进行整改加固; 在等级保护工作中,企业要向公安机关网安部门提交测评报告,配合完成对信息安全德基保护实施情况的检查并接受信息安全监管部门的监管。 等级保护工作流程 等级保护工作角色分工
等级保护建设清单建议 以下等级保护产品以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准,结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护能力。 二级等保安全产品列表 三级等保安全产品列表 (以上资料图片来源深信服)
等级保护的意义 从经济效益分析 一、有利于提高信息化建设的投入产出比进行资源优化 信息化的建设和实施是一个系统的、复杂的工程,引进信息系统等级保护体系,针对外事办信息系统的安全现状,提出一个切实可行、经济高效的解决方案,采取分期逐步推进的策略,可以使企业少走弯路,在较高的起点上以较小的资金和人员投入,取得更好的效果,在较短的时间内迅速提高信息系统的安全水准。 二、有利于从整体上降低信息化投入的资金 按照等级保护标准进行建设整改,可以避免不同系统在信息安全上的重复建设,大大降低发生安全事件的可能性和损失,从整体上将降低信息安全建设运维的费用,同时也可以避免在某个系统或某个环节出现安全漏洞,导致整个网络存在着较大的安全风险。 从社会效益分析 一、为信息系统提供了安全高效的技术保障,让信息安全更加体系化 在信息化系统建设中,安全是一个至关重要的问题。信息系统承载对公众服务和业务办公等业务,信息系统出现安全事故将会造成较大的负面效应。 因此改变以往单点防御方式,开展信息系统安全建设整改,让安全建设更加体系化,可以为信息系统建设提供安全高效运行的保障,具有非常重要的社会意义。 二、响应国家政策和主管部门要求。 在每年的信息安全工作部署中,都将定期开展信息安全等级保护和信息安全整改作为重点工作之一,切实提高单位自身安全防护能力。通过开展的信息安全等级保护工作,对现有重要信息系统安全现状分析,可以深入挖掘外事办在存在安全漏洞和安全隐患,对存在问题的严重性进行定量和定性的评估,为安全建设整改提供参考依据,降低安全隐患对安全产生的负面影响,为系统稳定运行提供更好的保障,建立完整的安全防护体系和安全防护策略,提高信息系统安全保障能力,将信息安全事件扼杀在摇篮之中。
(以上部分资料图片来源互联网及深信服官网)