随着《网络安全法》的颁布,越来越多的企事业单位开始重视信息安全,信息安全等级保护工作开始走入了大众的视野,但很多单位对等保工作还不了解,现针对等级保护工作中常见的问题做一个答疑解惑。
一、什么是等级保护?
答:信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
简单而言,就是将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上信息系统到公安机关备案,公安机关对备案材料审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改,备案单位聘请符合国家规定的等级测评机构进行等级测评(第二级系统备案前要进行一次测评、第三级系统每年要进行一次测评);公安机关对第二级信息系统进行指导,对第三级、第四级信息系统定期开展监督、检查。
二、为什么要开展等级保护工作?
答:主要理由如下:1)通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。2)等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》。3)很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。4)落实个人及单位的网络安全保护义务,合理规避风险。
三、等级保护工作的五个环节是什么?
答:信息安全等级保护工作包括定级(用户自主定级)、备案(到公安机关备案)、安全建设和整改、等级测评(根据定级报告中的级别测评看是否达到该级别应达到的要求)、监督检查五个环节。
四、等级保护级别划分
答:信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
按照公安部《信息系统安全保护等级定级指南》的要求,非涉密信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级测评前需对系统进行定级,定级为客户参考《信息系统安全保护等级定级指南》进行自主定级,定级不只有二级和三级。要分别对S(业务信息)、A(系统服务)进行定级,定级有业务信息(S)和系统服务(A)两个指标的定级,以其中较高的决定。有多种组合,如二级有S2A2G2/S2A1G2/S1A2G2、三级有S3A1G3/S3A2G3/S3A3G3/S2A3G3/S1A3G3等。定级完成后需要按照定级报告模板编写定级报告。
五、去哪里进行信息系统的定级备案工作?
答:省级单位将定级资料交给市公安局网安支队备案,市县级单位将定级资料交给各自地级市的网安支队备案。
六、什么是等级保护测评?
答:等级保护测评指的是用户单位委托第三方有测评资质的测评机构对单位已定级备案的信息系统开展安全测试的过程,测试结束后出具相应的信息系统测评报告。
七、选哪家单位开展等级测评工作?
答:单位应选择在等级保护网www.djbh.net中公布的《全国信息安全等级保护测评机构推荐目录》中的机构进行测评,测评单位应当具有信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》。
八、等级保护测评一般需要多长时间?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。如用户不要求中间进行整改,测评整体时间在1-2个月左右。具体完成时间根据实际情况而定。
九、等级保护测评多久需要测一次?
答:三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评。
十、等级保护测评的费用是多少?
答:测评的费用是按照信息系统的数量和来计算,不同等级的测评费用不一样,也会系统规模的大小有区别。
十一、等级保护测评的主要内容?
答:主要包括物理(机房)、网络(网络结构、网络设备、安全设备)、主机(操作系统、数据库)、应用(应用软件、中间件)、数据五个层面。还需进行工具测试和渗透测试(如有特殊原因,客户可以选择不进行,但需签署自愿放弃验证声明)。
十二、等级保护测评的工作方法和流程?
答:等级测评方法主要有访谈、检查、测试三种、测评流程分为项目准备阶段、方案编制阶段、现场测评阶段和报告编制阶段四个阶段。
十三、等级保护测评依据的标准?
答:等级测评主要依据《信息系统安全等级保护基本要求》GB/T22239和《信息系统安全等级保护测评要求》GB/T28448,两个标准是配套使用的,基本要求是写的各级别测评的具体要求有哪些,测评要求主要写的是这个要求具体要怎么去测。但一些特定行业出了等保的行业标准,需要依据行业标准进行测评,如金融、证券、广电、电力、医院、电子政务外网、税务等。
十四、等级保护测评结论判定方法?
答:等级测评结论为三个,符合、基本符合和不符合,报告采用风险分析和打分机制,判定标准为:
1、100分结果为符合
2、60分以上且无高风险,结果为基本符合
3、60分以下或存在高风险,结果判定为不符合
为避免测评结论为不符合且能获得较高分数,请先对系统进行基础加固和整改。其中包括机房整改、网络结构调整、采购安全设备、网络设备和服务器操作系统、数据库、中间件的策略加固、应用整改和漏洞修复等。具体加固内容参考加固规范。
十五、什么是等保2.0?
答:等级保护已经进入2.0时代,除了传统信息系统,云计算、移动互联、物联网、工业控制系统也被纳入了等级保护的范围。新标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。传统信息系统需要满足安全通用要求,云计算、移动互联、物联网、工业控制系统在安全通用要求的基础上还需要实现安全扩展要求。
