| 一、什么是信息安全等級保護? 信息安全等級保護簡稱“等保”,公安部評估中心在2017年8月根據網信辦和信安村委的意見將等級保護在編的5個基本要求分冊標準進行了合并,形成《信息安全技術 網絡安全等級保護基本要求》一個標準,(GB/T 22239-2019等保2.0代替GB/T 22239-2008等保1.0)該標準于2019年5月10月發布,于2019年12月1日開始實施,并列入強制性條例,凡是有收集或存儲用戶手機號、住址、身份證信息的系統、網站、APP等都必須辦理信息安全等級保護。 二、為什么要辦理信息安全等級保護備案? 1、法律規定:《網絡安全法》和《信息安全等級保護管理辦法》明確規定網絡運營者應當履行安全保護義務,如果拒不履行,將會受到相應處罰。 2、加強競爭:信息安全等級保護備案是目前檢驗一個系統安全性的重要標準,是用戶及合作伙伴對系統是滯滿足相應安全保護的評估方法,信息系統運營單位在向外部客戶提供業務服務時,通過信息安全等級保護備案證明能向客戶及利益相關方展示信息系統安全性承諾,增強客戶、合作伙伴及利益相關方的信心。 3、自身安全保護:辦理信息安全等級保護備案時,是由獲得公安局認可的測評機構進行測評的,會對系統開展風險評估、漏洞掃描、滲透測試等多項差距評估,如果發現系統存在安全漏洞問題,會出具整改建議,幫助企業提交系統的安全防護能力,降低被攻擊的風險。 三、信息安全等級保護基本內容 信息安全等級保護備案是一個全方位系統安全性標準,不僅僅是程序安全,還包含了物理安全、應用安全、通信安全、邊界安全、環境安全、管理安全等方面。 【物理安全】:機房物理訪問控制應防火、防雷擊,控制好溫濕度,提供電力供應保障、電磁防護等。 【應用安全】:應用具備身份鑒別、訪問控制、安全審計、剩余信息保護、軟件容錯、資源控制和代碼安全。 【通信安全】:包括網絡架構,通信傳輸,可信驗證。 【邊界安全】:包括邊界防護,訪問控制,入侵防范,惡意代碼防護等。 【環境安全】:入侵防范,惡意代碼防范,身份鑒別,訪問控制,數據完整性、保密性,個人信息保護。 【管理安全】:系統管理,審計管理,安全管理,集中管控。 四、等保1.0和等保2.0有什么區別? 等保1.0以1994年國務院分布的147號令《計算機信息系統安全保護條例》為指導標準,以2008年發布的《GB/T22239-2008信息安全技術 信息系統安全等級保護基本要求》為指導的網絡安全等級保護辦法。 等保2.0以《中華人民共和國網絡安全法》為法律依據,以2019年5月發布的《GB/T22239-2019信息安全技術 網絡安全等級保護基本要求》為指導標準的網絡安全等級保護辦法,目前,信息安全等級保護備案是以等保2.0為標準的,相對于等保1.0,等保2.0安全防護體系建設、風險評估和管理上更加全面。 五、信息安全等級保護一共分為幾個級別? 等保一共劃分為五個級別,越高安全性越好,其中: 【等保一級】為“用戶自主保護級”,是等保中最低的級別,該級別無需測評,提交相關申請資料,公安部審核通過即可。 【等保二級】為“系統審計保護級”,是目前使用最多的等保方案,所有“信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全”范圍內網站均可適用,可支持到地級市各機關、事業單位及各類企業的系統應用,比如:網上各類服務的平臺(尤其是涉及到個人信息認證的平臺),市級地方機關、政府網站等。 【等保三級】為“安全標記保護級”,級別更高,支持“信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害”范圍,現在凡是具備收集或存儲用戶手機號、住址、身份證信息的系統都必須辦理等保三級了。 【等保四級】適用于國家重要領域、涉及國家安全、國計民生的核心系統,普通的企業用不需要做,主要用于銀行、軍工單位等企業。 【等保五級】我國目前最高級別的等保就是五級等保,一般應用于國家的機密部門。 六、信息安全等級保護備案流程是怎么樣? 信息安全等級保護備案包含了五個階段,分別是:定級、備案、建設整改、等級測評、監督檢查。之前很多小伙伴都在問什么是信息安全等級保護定級?什么是信息安全等級保護測評?等問題,其實就是信息安全等級保護備案過程中的一個流程,辦理信息安全等級保護備案首先要確定系統的級別,就是等保定級,然后提交備案申請,之后就由公安部認可的測評機構開始對系統測評,開展風險評估、漏洞掃描、滲透測試等多項差距評估,并出具整改建議,整改通過后,再次對系統進行測評,測評通過后就會獲得測評合格報告,把測評合格報告提交給網安部,網安部審批下發信息安全等級保護備案證明。 七、如果需要辦理信息安全等級保護備案的企業不辦理會有什么后果? 以下節選自《中華人民共和國網絡安全法》: 第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。 第三十八條:關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。 第五十九條:網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。 關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。 八、信息安全等級保護備案在哪辦理? 舒心企服有專門設立了信息安全等級保護備案辦理部門,可以幫助所需企業提交申請信息安全等級保護備案,提供系統定級、系統測評、系統備案一站式信息安全等級保護服務,不同地區的辦理要求、所需材料和價格費用都不一樣,想要獲得企業當地的等保備案辦理要求、所需材料和報價的,可以在線咨詢“舒心企服”。
|
