在中国,信息安全等级保护被广义定义为涉及标准、产品、系统、信息等的安全工作。基于等级保护理念的作品;狭义上,一般指信息系统(APP)安全等级保护。
在互联网时代,随着信息技术的不断进步,网络和信息系统的安全变得越来越重要。一些企事业单位掌握着大量的公民隐私信息,一旦遭到网络攻击,将会造成非常严重的后果。围绕平等保险合规建设实现安全管理系统化,是中国企业全面提升安全保障能力的必要路径和契机。
为什么要做等级保护?
法律法规要求:《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络不受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。行业要求:在金融、电力、广电、医疗、教育等行业,主管部门明确要求对从业人员的信息系统(app)进行等级保护。企业安全需求:信息系统运营者和用户可以通过开展等级保护工作,发现系统内部隐藏的安全风险和不足,可以通过安全整改提高系统的安全防护能力,降低被攻击的风险。简单来说,网络安全法一直要求对网站、信息系统和应用程序进行分级保护。中小型企业通常只有在行业需要时才意识到这个问题。
信息安全等级保护评估的依据是什么?
根据《信息系统安全等级保护基本要求》(工通字[2007]43号)第十四条和《安全等级保护实施管理办法》:信息系统建设完成后,运营使用单位或者其主管部门应当选择符合本办法规定条件的评估单位,按照《信息系统安全等级保护评估要求》等技术标准,定期对信息系统安全等级进行等级评估。
第一级:用户的独立保护级别。目前1.0版本不需要备案(提交的材料公安部也会给备案证明),2.0版本需要备案;
级别2:系统审计保护级别。二级信息系统是自检或上级检查。建议每两年进行一次检查。
三级:安全标志保护等级。三级信息系统应至少每年评估一次。
第4级:结构化保护级别。四级信息系统应至少每半年评估一次。
级别5:访问验证保护级别。5级信息系统应根据特殊的安全要求进行分级。其中,三类保险是国家对非银行机构的最高认证,属于“监管级别”,由国家信息安全监管部门进行监督检查。具体程序包括定级、备案、安全建设与整改、信息安全等级评估、信息安全检查五个阶段。认证内容分别涵盖五项安全防护技术要求和五项安全管理要求,包括信息保护、安全审计、通信保密等近300项要求。,共涉及73个评价类别,要求非常严格。对于企业来说,最常见的错误就是把平等的保险评价当成“应试”和负担。其实一级安全不是考试,不是为了应付,而是通过一级安全发现问题,解决问题,从而提高信息系统的安全防护能力。另外,等保只是网络安全的手段而不是目的,是起点而不是终点。与安全能力和投资策略同步建设相匹配的“合规”是高效实现“持续安全”和“动态安全”的基础。
