1樓:青蓮網路雲服務
首先要明白:
為什麼要開展等級保護工作呢?
第一、開展等保的最重要原因是通過等級保護工作,發現單位資訊系統與****標準之間存在的差距,查明目前系統存在的安全隱患和不足,通過安全整改之後,提高資訊系統的資訊保安防護能力,降低系統被各種攻擊的風險。
第二、等級保護是我國關於網路安全的基本政策,《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27 號,以下簡稱「27 號檔案」)明確要求我國資訊保安保障工作實行等級保護制度,提出「抓緊建立資訊保安等級保護制度,制定資訊保安等級保護的管理辦法和技術指南」。
第三、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求檔案的有:金融、電力、廣電、醫療、教育、電子政務等行業,還有一些主管單位發過相關檔案或通知要求去做。另外資訊保安主管單位要求我們去開展等級保護工作開展網路安全工作,主要有:
公安、網信辦等行業主管單位。不做等保的話,沒法向相關主管單位及行業主管單位彙報自己單位的網路安全工作。
對於發生比較大的安全事件,首先主管單位們要去現場調查,如果你沒有開展等級保護工作,最直接的一個結論就是你的資訊保安工作沒有開展好,沒有開展到位,國家最基本的等級保護工作都沒做,你說你買了很多防火牆,很多安全裝置,那都是說不清道不明的,不如你實實在在拿出備案證明,拿出測評報告說服力強。
如何開展等保工作?
只找符合規定要求的等級保護測評機構。找有測評資質的的測評公司去開展,該單位至少具有該省市資訊保安等級保護協調小組辦公室發放的《資訊保安等級保護測評機構推薦證書》,同時部分省份要求測評機構在使用者單位所在地級市公安網安部門備案,備案成功後方可在當地開展等級保護測評工作。
2樓:
等保的流程大致為:定級備案、差距分析、整改規劃、專案實施、等保測評。
具體業務的開展應根據自身情況進行,一般情況為:組織結構(沒有合適足夠的組織人員,資訊保安工作就不可能取得什麼好成果)、管理制度(明確組織結構的權利、責任)、安全方針(高層領導對整個工作的指示,是整個等保業務重要的參考,也是讓其他部門配合等保實施的保證),風險/安全評估,風險處理計劃,安全整合、執行測試、等保測評、改善升級。
3樓:手機使用者
沒有檔案推動,工作不好開展啊
4樓:天磊諮詢
企業辦理等級保護備案的原因:1、通過等級保護工作發現單位資訊系統存在的安全隱患和不足,進行安全整改之後,提高資訊系統的資訊保安防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於資訊保安的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求檔案的有:金融、電力、廣電、醫療、教育等行業等。落實個人及單位的網路安全保護義務,合理規避風險。
資訊保安等級保護的辦理流程:一步:定級;(根據企業的系統評定辦理級別)二步:修改;(對系統經行大致的修改系統)
三步:評測;(評測商對系統評測,得分)
四步:備案;(在當地的網安部門備案)
五步:維護。(定期對系統經行維護)
什麼是資訊保安等級保護?什麼是等保?
5樓:北京海宇勇創科技
等級保護概念
根據資訊系統應用業務重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障資訊保安和系統安全正常執行,維護國家利益、公共利益和社會穩定。 等級保護的核心是對資訊系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對資訊保安等級保護工作運用法律和技術規範逐級加強監管力度。
突出重點,保障重要資訊資源和重要資訊系統的安全。
等級保護制度的主要內容
> 資訊保安等級保護是指:對國家祕密資訊、法人和其他組織及公民的專有資訊、公開資訊分類分級進行管理和保護;對資訊系統按業務安全應用域和區實行分級保護。
> 對系統中使用的資訊保安產品實行按分級許可管理。
> 對等級系統的安全服務資質分級許可管理。
> 對資訊系統中發生的資訊保安事件分等級響應、處置。
為什麼要搞等級保護?
> 保護業務安全應用。對資訊保安分級保護是客觀需求:資訊系統的建立是為社會發展、社會生活的需要而設計、建立的,是社會構成、行政組織體系及其業務體系的反映,這種體系是分層次和級別的。
因此,資訊保安保護必須符合客觀存在。
> 等級化保護是資訊保安發展規律:按組織業務應用區域、分層、分類、分級進行保護和管理,分階段推進等級保護制度建設,這是做好國家資訊保安保護必須遵循的客觀規律。
6樓:天磊諮詢
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。
遵循等級保護相關標準開始安全建設是目前企事業單位的普遍要求,也是國家關鍵資訊基礎措施保護的基本要求。
辦理等級保護的原因:
1、通過等級保護工作發現單位資訊系統存在的安全隱患和不足,進行安全整改之後,提高資訊系統的資訊保安防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於資訊保安的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求檔案的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
7樓:摩登時代
一、概念
資訊系統根據其在****、經濟建設、社會生活中的重要程度,遭到破壞後對****、社會秩序、公共利益及公民、法人和其他組織的合法利益的危害程度,由低到高劃分為五個等級。分別是:
第一級:使用者自主保護級
第二級:系統審計保護級
第**:安全標記保護級
第四級:結構化保護級
第五級:訪問驗證保護級
不同級別的資訊系統應該落實不同強度的安全要求,為了規範安全要求的落實標準,全國資訊保安標準化技術委員制定了《資訊系統安全等級保護基本要求》這個標準,該標準對不同級別的資訊系統應該落實的安全要求項進行了明確而具體的規定,將其分為管理要求和技術要求總共十個類別,分別是:
技術要求:
1、物理安全
2、主機安全
3、應用安全
4、網路安全
5、資料安全及備份恢復
管理要求:
1、安全管理制度
2、安全管理機構
3、人員安全管理
4、系統建設管理
5、系統運維管理
二、政策法規
中華人民共和國計算機資訊系統安全保護條例
計算機資訊系統保護等級劃分準則
國家資訊化領導小組關於加強資訊保安保障工作的意見
關於加強資訊保安等級保護工作的實施意見
資訊保安等級保護管理辦法
關於開展全國重要資訊系統安全等級保護定級工作的通知
關於開展資訊保安等級保護安全建設整改工作的指導意見
三、標準規範
計算機資訊系統安全等級保護劃分準則(基礎類標準)
資訊系統安全等級保護實施指南(基礎類標準)
資訊系統安全等級保護定級指南(應用類標準)
資訊系統安全等級保護基本要求(應用類建設標準)
資訊系統通用安全技術要求(應用類建設標準)
資訊系統等級保護安全設計技術要求(應用類建設標準)
資訊系統安全等級保護測評要求(應用類測評標準)
資訊系統安全等級保護測評過程指南(應用類測評標準)
資訊系統安全管理要求(應用類管理標準)
資訊系統安全工程管理要求(應用類管理標準)
四、工作流程
等級保護工作不是一件事,而是由五件事組成的一個完整工作流程。通常所說的等級保護工作指的是等級保護測評這項工作流程。根據資訊系統等級保護相關標準,等級保護工作總共分五個階段,分別為:
1、定級
資訊系統運營使用單位按照等級保護管理辦法和定級指南,自主確定資訊系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網執行的資訊系統可以由其主管部門統一確定安全保護等級。
雖然是自主定級,但是也得根據系統實際情況去定級,有行業指導檔案的根據指導檔案來,沒有檔案的根據定級指南來,總之一句話合理定級。
二是備案。第二級以上資訊系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案,各地市單位一般直接到市級網安支隊備案,也有部分地市區縣單位的定級備案資料是先交到區縣****大隊的,具體根據各地市要求來。
三是系統安全建設。資訊系統安全保護等級確定後,運營使用單位按照管理規範和技術標準,選擇管理辦法要求的資訊保安產品,建設符合等級要求的資訊保安設施,建立安全組織,制定並落實安全管理制度。
四是等級測評。資訊系統建設完成後,運營使用單位選擇符合管理辦法要求的檢測機構,對資訊系統安全等級狀況開展等級測評。
五是監督檢查。公安機關依據資訊保安等級保護管理規範,監督檢查運營使用單位開展等級保護工作,定期對資訊系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
其中定級、備案工作原則上是由使用者單位自己填寫定級備案表交給****部門去進行備案工作,但考慮到實際情況,絕大多數情況下都是使用者單位在測評機構的協助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展,可以先測評再整改,也可以先建設再測評。具體還是根據自身實際情況來辦。
注意了:選擇一家有實力的測評機構很重要,測的好壞關係到單位資訊系統後期整改內容,問題發現多了提前發現了並整改了,可以有效降低被攻擊的風險,提高資訊保安防護能力。
所以等級保護工作是以上一個全流程,而不只是測評工作,測評的目的是發現問題,更重要的是我們在發現問題之後去持續的解決問題,完善我們的資訊保安建設工作,保障應用的正常服務以及資料的安全。
8樓:匿名使用者
資訊保安等級保護與等保是一回事兒啊
公安機關負責資訊保安等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導
等級保護制度是國家在國民經濟和社會資訊化的發展過程中,為了提高資訊保安保障能力和水平,維護****、社會穩定和公共利益,所以要實行資訊保安等級保護。
級別劃分為五個級別:一級自主保護級、二級指導保護級、**監督保護級、四級強制保護級和五級專項保護級。
資訊保安等級保護測評技術標準和需求
文庫精選 內容來自使用者 孫 為了保障瀏陽市人民醫院 核心業務系統 his系統 安全 穩定 可靠 高效的執行,按照相關的國家 行業的安全標準要求,需要對其進行安全等級保護 測評。測評內容包括 物理安全 網路安全 主機安全 應用安全 資料安全及備份恢復 安全管理制度 安全管理機構 人員安全管理 系統建...
請問資訊保安等級保護測評時要用到哪些工具啊
漏洞掃描工具,木馬檢查工具,接地電阻測試儀,電磁遮蔽效能測試儀,軟體 安全分析工具 同意樓上,做等保主要是人工,不知道跟樓主說下人工測評的過程是否對你有幫助。完整的等級測評過程分為四個基本測評活動 測評準備活動 方案編制活動 現場測評活動 分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級...
資訊保安等級保護十三大重要標準是什麼
計算機資訊系統安全等級保護劃分準則 gb 17859 1999 基礎類標準 資訊系統安全等級保護實施指南 gb t 25058 2010 基礎類標準 資訊系統安全保護等級定級指南 gb t 22240 2008 應用類定級標準 資訊系統安全等級保護基本要求 gb t 22239 2008 應用類建設...