1.什么是等保
信息安全等級(jí)保護(hù),作為一項(xiàng)關(guān)鍵的信息安全防護(hù)舉措,旨在依據(jù)信息系統(tǒng)的重要程度及其潛在影響,劃分不同等級(jí)并實(shí)施針對(duì)性保護(hù)。 網(wǎng)絡(luò)安全等級(jí)保護(hù)備案,也就是我們常說的“等保備案”,是其中不可或缺的一環(huán)。 依據(jù)《信息安全等級(jí)保護(hù)管理辦法》,信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí),當(dāng)運(yùn)行二級(jí)及以上等級(jí)的系統(tǒng)時(shí),需在 30 日之內(nèi)完成備案流程,以確保信息系統(tǒng)合規(guī)運(yùn)營(yíng),維護(hù)網(wǎng)絡(luò)空間安全穩(wěn)定。 2. 網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí) 1 第一級(jí)(用戶自主保護(hù)級(jí)) 適用于一般性信息系統(tǒng),此類系統(tǒng)若遭受破壞,通常會(huì)對(duì)公民、法人以及其他組織的合法權(quán)益產(chǎn)生一定程度的損害,而不會(huì)對(duì)國(guó)家安全、社會(huì)秩序以及公共利益造成負(fù)面影響,其防護(hù)重點(diǎn)在于用戶自身的日常維護(hù)與基礎(chǔ)安全設(shè)置。 2 第二級(jí)(系統(tǒng)審計(jì)保護(hù)級(jí)) 同樣應(yīng)用于一般信息系統(tǒng)范疇,不過相較于第一級(jí),當(dāng)該級(jí)系統(tǒng)受損時(shí),會(huì)對(duì)社會(huì)秩序與公共利益造成輕微不良影響,但尚不足以威脅國(guó)家安全,此階段強(qiáng)調(diào)系統(tǒng)的審計(jì)功能,以便及時(shí)把潛在風(fēng)險(xiǎn)。 3 第三級(jí)(安全標(biāo)記保護(hù)級(jí)) 面向涉及國(guó)家安全、社會(huì)秩序以及公共利益的重要信息系統(tǒng),一旦這類系統(tǒng)遭遇破壞,將直接對(duì)國(guó)家安全、社會(huì)秩序與公共利益產(chǎn)生損害。因此,在這一等級(jí)下,無論是技術(shù)防護(hù)手段還是管理監(jiān)督機(jī)制,都需達(dá)到較高標(biāo)準(zhǔn),國(guó)家信息安全監(jiān)管部門也將強(qiáng)化對(duì)此類系統(tǒng)的監(jiān)督審查力度。 4 第四級(jí)(結(jié)構(gòu)化保護(hù)級(jí)) 依然聚焦于關(guān)乎國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng),但其受損后引發(fā)的后果更為嚴(yán)重,會(huì)給上述關(guān)鍵領(lǐng)域造成重大損害,要求信息系統(tǒng)構(gòu)建起更為嚴(yán)密、穩(wěn)固的結(jié)構(gòu)化防護(hù)體系,全方位抵御各類風(fēng)險(xiǎn)。 5 第五級(jí)(訪問驗(yàn)證保護(hù)級(jí)) 作為最高等級(jí),適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),該部分一旦遭受破壞,所產(chǎn)生的危害將極其嚴(yán)重,關(guān)乎國(guó)家戰(zhàn)略層面的信息安全,需運(yùn)用最前沿、最可靠的技術(shù)與管理手段進(jìn)行全方位守護(hù)。 3. 哪些行業(yè)需要做等保 1) 教育行業(yè):211、985 高校及在線教育平臺(tái)需要做等保,畢竟承載著大量重要數(shù)據(jù)與學(xué)員隱私。 2) 醫(yī)療行業(yè):醫(yī)院系統(tǒng)、互聯(lián)網(wǎng)醫(yī)院及診療服務(wù),上線需過等保,保障患者病歷等信息安全。 3) 金融行業(yè):互聯(lián)網(wǎng)金融尤其是 P2P 行業(yè),經(jīng)營(yíng)須符合等保要求,涉及資金、金融信息安全。 4) 能源、通信、交通:關(guān)乎國(guó)計(jì)民生,受上級(jí)要求落實(shí)等保,確保關(guān)鍵環(huán)節(jié)信息安全。 5) 政府機(jī)關(guān)、企事業(yè)單位、央企:等保與負(fù)責(zé)人績(jī)效掛鉤,保障政務(wù)、企業(yè)核心數(shù)據(jù)安全。 6) 征信行業(yè):基于信息敏感性,嚴(yán)格執(zhí)行等保,維護(hù)信用記錄安全。 7) 科技相關(guān)行業(yè):軟件開發(fā)、物聯(lián)網(wǎng)、工業(yè)數(shù)據(jù)、大數(shù)據(jù)、云計(jì)算行業(yè),依行業(yè)或甲方要求做等保,防范數(shù)據(jù)風(fēng)險(xiǎn)。 8) 貨運(yùn)行業(yè):申辦網(wǎng)絡(luò)貨運(yùn)資格證,需達(dá)成等保三級(jí),確保貨運(yùn)數(shù)據(jù)安全。 9) 酒店行業(yè):保護(hù)客人隱私,推進(jìn)等保,防止入住信息泄露。 10) 戶外宣傳項(xiàng)目:戶外大屏、廣告牌等,落實(shí)等保,杜絕不良信息傳播風(fēng)險(xiǎn)。 4. 等級(jí)保護(hù)備案申請(qǐng)材料 1) 營(yíng)業(yè)執(zhí)照復(fù)印件 2) 法人身份證復(fù)印件 3) 被授權(quán)人身份證復(fù)印件及辦理備案工作的授權(quán)委托書 4) 備案單位辦公地證明 5) 備案單位服務(wù)器托管協(xié)議 6) 備案系統(tǒng)應(yīng)急聯(lián)系人登記表 7) 系統(tǒng)定級(jí)報(bào)告:系統(tǒng)定級(jí)的專業(yè)依據(jù),詳細(xì)闡述信息系統(tǒng)的定級(jí)過程、依據(jù)及結(jié)果,供審核部門參考。 8) 簽訂網(wǎng)絡(luò)與信息安全承諾書:企業(yè)表達(dá)對(duì)信息安全責(zé)任擔(dān)當(dāng)?shù)臅娉兄Z,彰顯維護(hù)網(wǎng)絡(luò)安全的決心。 9) 專家評(píng)審意見及專家資質(zhì)復(fù)印件:專家團(tuán)隊(duì)?wèi)?yīng)涵蓋行業(yè)及網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)人士,其中至少包含一名網(wǎng)絡(luò)安全專家,且專家數(shù)量須為 3名以上奇數(shù),確保評(píng)審結(jié)果的專業(yè)性、權(quán)威性,同時(shí)附上專家資質(zhì)證明材料以供核查。 三級(jí)系統(tǒng)備案時(shí)需另外提交的材料: ?單位系統(tǒng)拓?fù)鋱D及說明:直觀展現(xiàn)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、節(jié)點(diǎn)分布及連接關(guān)系,輔以詳細(xì)說明,便于審核人員全面了解系統(tǒng)架構(gòu),精準(zhǔn)評(píng)估潛在風(fēng)險(xiǎn)。 ?使用網(wǎng)絡(luò)安全專用產(chǎn)品清單及檢測(cè)報(bào)告:列出企業(yè)所采用的各類網(wǎng)絡(luò)中國(guó)安全專用產(chǎn)品,同時(shí)附上產(chǎn)品檢測(cè)報(bào)告,證明其防護(hù)性能與合規(guī)性,為系統(tǒng)安全提供硬件支撐。 ?信息安全工作管理制度等:涵蓋人員管理、數(shù)據(jù)管理、應(yīng)急處置等多方面的信息安全工作規(guī)范,以制度形式保障信息系統(tǒng)日常運(yùn)營(yíng)的安全有序。 5. 等級(jí)保護(hù)備案 辦理流程(五步走) 1 系統(tǒng)定級(jí) 企業(yè)依據(jù)自身業(yè)務(wù)特點(diǎn)、數(shù)據(jù)敏感度及潛在風(fēng)險(xiǎn),初步確定信息系統(tǒng)等級(jí),組織專家進(jìn)行評(píng)審,經(jīng)主管部門審核,最終由公安機(jī)關(guān)確認(rèn)定級(jí)結(jié)果,確保定級(jí)科學(xué)合理。 定級(jí)流程:鎖定定級(jí)對(duì)象→初步評(píng)定安全等級(jí)→組織專業(yè)評(píng)審團(tuán)隊(duì)評(píng)審→提交主管部門審批→公安機(jī)構(gòu)備案審查→最終確定的級(jí)別。 2 提交備案 將完善的備案材料提交至公安機(jī)關(guān)網(wǎng)安部門,審核周期通常在 10 - 15 個(gè)工作日,若材料齊全、合規(guī),將獲發(fā)備案證或備案編號(hào),開啟后續(xù)流程。 3 等級(jí)測(cè)評(píng) 委托公安部認(rèn)可的第三方等級(jí)測(cè)評(píng)機(jī)構(gòu),依據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行全面測(cè)評(píng),以檢驗(yàn)系統(tǒng)是否切實(shí)達(dá)到三級(jí)等保要求,且三級(jí)等保系統(tǒng)需每年進(jìn)行一次測(cè)評(píng),持續(xù)保障系統(tǒng)安全狀態(tài)。 4 建設(shè)整改 依據(jù)等級(jí)測(cè)評(píng)結(jié)果,針對(duì)系統(tǒng)存在的安全短板,購(gòu)置必要的安全設(shè)備、優(yōu)化管理流程、提升人員安全意識(shí),全方位推進(jìn)信息系統(tǒng)的安全建設(shè)與整改工作。 5 監(jiān)督檢查 公安機(jī)關(guān)將按年度對(duì)企業(yè)等保三級(jí)實(shí)施情況進(jìn)行監(jiān)督檢查,確保企業(yè)持續(xù)嚴(yán)格落實(shí)等保要求,維護(hù)信息系統(tǒng)長(zhǎng)期穩(wěn)定安全運(yùn)行。
收藏
400-668-6638
取消收藏