網路安全等級保護測評
一、概念
信息系統根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法利益的危害程度,由低到高劃分為五個等級。分別是:
第一級:用戶自主保護級
第二級:系統審計保護級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪問驗證保護級
不同級別的信息系統應該落實不同強度的安全要求,為了規範安全要求的落實標準,全國信息安全標準化技術委員會制訂了《信息系統安全等級保護基本要求》這個標準,該標準對不同級別的信息系統應該落實的安全要求項進行了明確而具體的規定,將其分為管理要求和技術要求總共十個類別,分別是:
技術要求:
1、物理安全
2、主機安全
3、應用安全
4、網路安全
5、數據安全及備份回復
管理要求:
1、安全管理制度
2、安全管理機構
3、人員安全管理
4、系統建設管理
5、系統運維管理
二、政策法規
中華人民共和國計算機信息系統安全保護條例
計算機信息系統保護等級劃分準則
國家信息化領導小組關於加強信息安全保障工作的意見
關於加強信息安全等級保護工作的實施意見
信息安全等級保護管理辦法
關於開展全國重要信息系統安全等級保護定級工作的通知
關於開展信息安全等級保護安全建設整改工作的指導意見
三、標準規範
計算機信息系統安全等級保護劃分準則(基礎類標準)
信息系統安全等級保護實施指南(基礎類標準)
信息系統安全等級保護定級指南(應用類標準)
信息系統安全等級保護基本要求(應用類建設標準)
信息系統通用安全技術要求(應用類建設標準)
信息系統等級保護安全設計技術要求(應用類建設標準)
信息系統安全等級保護測評要求(應用類測評標準)
信息系統安全等級保護測評過程指南(應用類測評標準)
信息系統安全管理要求(應用類管理標準)
信息系統安全工程管理要求(應用類管理標準)
四、工作流程
等級保護工作不是一件事,而是由五件事組成的一個完整工作流程。通常所說的等級保護工作指的是等級保護測評這項工作流程。根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別為:
1、定級
信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然是自主定級,但是也得根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之一句話合理定級。
二是備案。第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案,各地市單位一般直接到市級網安支隊備案,也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的,具體根據各地市要求來。
三是系統安全建設。信息系統安全保護等級確定後,運營使用單位按照管理規範和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定並落實安全管理制度。
四是等級測評。信息系統建設完成後,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。
五是監督檢查。公安機關依據信息安全等級保護管理規範,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網監部門去進行備案工作,但考慮到實際情況,絕大多數情況下都是用戶單位在測評機構的協助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展,可以先測評再整改,也可以先建設再測評。具體還是根據自身實際情況來辦。注意了:選擇一家有實力的測評機構很重要,測的好壞關係到單位信息系統後期整改內容,問題發現多了提前發現了並整改了,可以有效降低被攻擊的風險,提高信息安全防護能力。
所以等級保護工作是以上一個全流程,而不只是測評工作,測評的目的是發現問題,更重要的是我們在發現問題之後去持續的解決問題,完善我們的信息安全建設工作,保障應用的正常服務以及數據的安全。
推薦閱讀:
TAG:信息網路安全 |