一、前言
1.1 基本认知
网络安全:根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),是指采取必要措施,防止攻击、入侵、干扰、破坏和破坏。网络上的非法活动。使用和意外情况下,使网络处于稳定可靠的运行状态,并能够保证网络数据的完整性、保密性、可用性。
网络安全分级保护:是指对网络(包括信息系统和数据)实施分级保护和分级监管。
信息系统安全等级评估:验证信息系统是否满足相应安全防护等级的评价过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。
1.2 等级保护的对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指按照一定规则和程序系统收集、存储、传输、交换和处理信息的计算机或其他信息终端及相关设备,主要包括:
基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统、采用移动互联网技术的系统等等级保护对象,按照其在国家安全、经济建设、社会保障等方面的重要程度进行销毁。社交生活。根据对国家安全、社会秩序、公共利益和公民、法人和其他组织合法权益的损害程度,从低到高分为五个安全保护等级。
1.3 不同等级的安全保护能力
目前,根据网络、信息系统、数据和信息在网络上的重要性,分为五个安全防护等级,从一级到五级,逐级加强。不同层次的网络、信息系统和网络上的数据应有不同的安全保护措施。
二、为什么要做信息等级保护测评
三、信息等级保护实施流程
四、什么是三级等保?
2.1 三级等保基本概念
三级防护(三级)又称国家信息安全等级防护三级认证,是国内最权威的信息产品安全等级资质认证。按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可和评估。
第三级保护是指对国家重要信息、法人等组织和公民专有信息、公共信息在存储、传输、处理过程中实施安全保护;以及信息系统中使用的信息安全产品。管理;各级信息系统信息安全事件的响应和处置。
2.2 三级等保基本要求
总结起来,一般从这几个方面
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理体系、安全管理机构、安全管理人员、安全施工管理、安全运维管理
五.三级等保一般会遇到哪些问题?
1、网站不做等保,出了问题将承担什么责任?
网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;构成犯罪的,依法追究刑事责任。造成安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;构成犯罪的,依法追究刑事责任。拒不改正或者造成网络安全损害等后果的,处十万元以上一百万元以下罚款,并对直接负责的主管人员处一万元以下罚款1万元但不超过10万元。
2、哪些行业需要做等保?
3、递交的备案资料都包括哪些内容?
备案表及分级报告;网络安全等级保护应急联系人登记表; 《信息安全工作管理制度》;系统所使用的安全产品清单及认证、销售许可证书;单元拓扑图及说明;专家评审意见。
4、整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过备案?
根据《GB T22239-2008信息安全技术信息系统安全等级保护基本要求》,三级系统有以下要求:
提供主网络设备、通信线路、数据处理系统的硬件冗余,保证系统的高可用性;
应建立备用电源系统;
上述检查项目需要购买设备,二次系统不需要,但二次系统中必须具备构成系统网络安全所必需的硬件;
5、整个周期是多长?其中现场测评时间多长?
整个评估周期包括前期调研、现场评估、后期报告撰写等,一般二级系统需要3~4周,三级系统需要4~5周(指初步评价,不包括整改和硬化时间);
现场评估(指对被测系统单元进行现场评估)取决于系统数量:一般二级系统需要3~4个工作日,三级系统需要5~6个工作日(两组同时进行,每组两人)。
6、等保测评检查周期是多长?
二级系统无具体要求,但建议每两年进行一次评估检查,三级系统每年检查一次,四级系统每六个月检查一次。
7、如何证明信息系统已经符合等保要求?
要求用户向当地网络监管机构进行分级备案,取得同等保护备案证书,同时通过具有评估资质的评估机构对信息系统进行安全评估,获得年度安全评估网络安全等级保护评估报告。结论可以证明信息系统满足等级保护的安全要求。