網(wǎng)絡(luò )安全等級保護基礎知識

　　2019年12月1日，網(wǎng)絡(luò )安全等級保護2.0開(kāi)始實(shí)施。到今年為止，網(wǎng)絡(luò )安全等級保護制度在我國已實(shí)施了十多年，但大部分人對等保制度的理解還只是停留在表面，對等保制度的很多內容有不少誤解。下面是小編為大家整理的網(wǎng)絡(luò )安全等級保護基礎知識，僅供參考，歡迎閱讀。

　　什么是網(wǎng)絡(luò )安全等級保護

　　網(wǎng)絡(luò )安全等級保護是國家網(wǎng)絡(luò )安全保障的基本制度、基本策略、基本方法。開(kāi)展網(wǎng)絡(luò )安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡(luò )安全的根本保障，是網(wǎng)絡(luò )安全保障工作中國家意志的體現。

　　網(wǎng)絡(luò )安全等級保護工作包括定級、備案、建設整改、等級測評、監督檢查五個(gè)階段。定級對象建設完成后，運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合國家要求的測評機構，依據《網(wǎng)絡(luò )安全等級保護測評要求》等技術(shù)標準，定期對定級對象安全等級狀況開(kāi)展等級測評。

　　實(shí)施意義

　　●合法要求：

　　滿(mǎn)足合法合規要求，清晰化責任和工作方法，讓安全貫穿全生命周期。

　　●體系建設：

　　明確組織整體目標，改變以往單點(diǎn)防御方式，讓安全建設更加體系化。

　　●等級防護：

　　提高人員安全意識，樹(shù)立等級化防護思想，合理分配網(wǎng)絡(luò )安全投資。

　　法律要求

　　《中華人民共和國網(wǎng)絡(luò )安全法》【第二十一條】國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。法律解讀：國家明確實(shí)行等級保護制度，網(wǎng)絡(luò )運營(yíng)者應按等級保護要求開(kāi)展網(wǎng)絡(luò )安全建設。

　　《中華人民共和國網(wǎng)絡(luò )安全法》【第三十一條】國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：�國家安全、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。（關(guān)鍵信息基礎設施必須落實(shí)國家等級保護制度，突出保護重點(diǎn)）法律解讀：關(guān)鍵信息基礎設施必須要落實(shí)等級保護制度，并要重點(diǎn)保護。

　　網(wǎng)絡(luò )安全等級保護工作具體包含哪些內容？

　　根據信息系統等級保護相關(guān)標準，等級保護工作總共分五個(gè)階段，分別為：

　　1）是信息系統定級。

　　2）是信息系統備案。

　　3）是系統安全建設。

　　4）是信息系統開(kāi)始等級測評。

　　5）主管單位定期開(kāi)展監督檢查。

　　為什么要開(kāi)展網(wǎng)絡(luò )安全等級保護工作？

　　1）通過(guò)等級保護工作發(fā)現單位信息系統存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風(fēng)險，維護單位良好的形象。

　　2）等級保護是我國關(guān)于信息安全的基本政策，國家法律法規、相關(guān)政策制度要求單位開(kāi)展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網(wǎng)絡(luò )安全法》。

　　3）很多行業(yè)主管單位要求行業(yè)客戶(hù)開(kāi)展等級保護工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫療、教育等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。

　　4）落實(shí)個(gè)人及單位的網(wǎng)絡(luò )安全保護義務(wù)，合理規避風(fēng)險。

　　等級保護的五個(gè)級別

　　第一級 自主保護級：（無(wú)需備案，對測評周期無(wú)要求）此類(lèi)信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成一般損害，不損害國家安全、社會(huì )秩序和公共利益。

　　第二級 指導保護級:（公安部門(mén)備案，建議兩年測評一次）此類(lèi)信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成嚴重損害。會(huì )對社會(huì )秩序、公共利益造成一般損害，不損害國家安全。

　　第三級 監督保護級：（公安部門(mén)備案，要求每年測評一次）此類(lèi)信息系統受到破壞后，會(huì )對國家安全、社會(huì )秩序造成損害，對公共利益造成嚴重損害，對公民、法人和其他組織的合法權益造成特別嚴重的損害。

　　第四級 強制保護級：（公安部門(mén)備案，要求半年一次）此類(lèi)信息系統受到破壞后，會(huì )對國家安全造成嚴重損害，對社會(huì )秩序、公共利益造成特別嚴重損害。

　　第五級 專(zhuān)控保護級：（公安部門(mén)備案，依據特殊安全需求進(jìn)行）此類(lèi)信息系統受到破壞后會(huì )對國家安全造成特別嚴重損害。

　　國家網(wǎng)絡(luò )安全等級保護框架

　　對企業(yè)系統安全的需求

　　信息系統運營(yíng)、使用單位通過(guò)開(kāi)展等級保護工作可以發(fā)現系統內部的安全隱患與不足之處，可通過(guò)安全整改提升系統的安全防護能力，降低被攻擊的風(fēng)險。

　　等級保護對象

　　網(wǎng)絡(luò )安全等級保護工作流程是怎樣的

　　一、定級

　　信息系統運營(yíng)使用單位按照等級保護管理辦法和定級指南，自主確定信息系統的安全保護等級。有上級主管部門(mén)的，應當經(jīng)上級主管部門(mén)審批�？缡』蛉珖�統一聯(lián)網(wǎng)運行的信息系統可以由其主管部門(mén)統一確定安全保護等級。雖然說(shuō)的是自主定級，但主要還是根據系統實(shí)際情況去定級，有行業(yè)指導文件的根據指導文件來(lái)，沒(méi)有文件的需要根據定級指南來(lái)，總之一句話(huà)合理定級，該是幾級就是幾級，不要定的高也不要定的低。

　　二、備案

　　第二級以上信息系統定級市級單位到所在地社區的市級以上公安機關(guān)辦理備案手續。省級單位到省公安廳網(wǎng)安總隊備案，各地市單位一般直接到市級網(wǎng)安支隊備案，也有部分地市區縣單位的定級備案資料是先交到區縣網(wǎng)監大隊的，具體根據各地市要求來(lái)。

　　三、系統安全建設

　　信息系統安全保護等級確定后，運營(yíng)使用單位按照管理規范和技術(shù)標準，選擇管理辦法要求的信息安全產(chǎn)品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實(shí)安全管理制度。

　　四、等級測評

　　信息系統建設完成后，運營(yíng)使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開(kāi)展等級測評。測評完成之后根據發(fā)現的安全問(wèn)題及時(shí)進(jìn)行整改，特別是高危風(fēng)險。測評的結論分為：不符合、基本符合、符合。當然符合基本是不可能的，那是理想狀態(tài)。

　　五、監督檢查

　　公安機關(guān)依據信息安全等級保護管理規范及《網(wǎng)絡(luò )安全法》相關(guān)條款，監督檢查運營(yíng)使用單位開(kāi)展等級保護工作，定期對信息系統進(jìn)行安全檢查。運營(yíng)使用單位應當接受公安機關(guān)的安全監督、檢查、指導，如實(shí)向公安機關(guān)提供有關(guān)材料。

　　其中定級、備案工作原則上是由用戶(hù)單位自己填寫(xiě)定級備案表交給網(wǎng)監部門(mén)去進(jìn)行備案工作，但考慮到實(shí)際情況，絕大多數情況下都是用戶(hù)單位在測評機構的協(xié)助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個(gè)順序開(kāi)展，可以先測評再整改，也可以先建設再測評。具體還是根據自身實(shí)際情況來(lái)辦。注：選擇的測評機構很重要，測評機構的權威性，測評質(zhì)量直接關(guān)系到單位信息系統后期整改內容，提前發(fā)現問(wèn)題提前整改，可以有效降低被攻擊的風(fēng)險，提高信息安全防護能力。

　　等級保護測評有哪些技術(shù)類(lèi)型？具體指標如何？

　　等級保護主要從技術(shù)要求和管理要求兩方面進(jìn)行綜合測評，而根據等級保護測評的三種不同技術(shù)類(lèi)型，其測評的指標要求也有所不同。

　　等保測評并非相當于ISO 20000系列的信息技術(shù)服務(wù)管理認證，也并非于ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度，是國家意志的體現。落實(shí)等級保護制度為了國家法律法規的合規需求。很多人認為，完成等保測評就萬(wàn)事大吉。其實(shí)，等保制度只是基線(xiàn)的要求，通過(guò)測評、整改，落實(shí)等級保護制度，確實(shí)可以規避大部分的安全風(fēng)險。但就目前的測評結果來(lái)看，幾乎沒(méi)有任何一個(gè)被測系統能全部滿(mǎn)足等保要求。一般情況下，目前等保測評過(guò)程中，只要沒(méi)發(fā)現高危安全風(fēng)險，都可以通過(guò)測評。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過(guò)程，而不是通過(guò)一次測評，就可以一勞永逸的。企業(yè)通過(guò)落實(shí)等保安全要求，并嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此，更重要是提升企業(yè)安全防護能力，及時(shí)把工作做到位。

【網(wǎng)絡(luò )安全等級保護基礎知識】相關(guān)文章：

信息安全等級保護測評報告（精選5篇）11-17

保護網(wǎng)絡(luò )安全倡議書(shū)02-18

全國計算機等級考試二級公共基礎知識試題及答案08-29

醫院網(wǎng)絡(luò )信息安全等級保護制度（通用8篇）09-25

信息安全等級保護測評報告范文（通用14篇）11-22

網(wǎng)絡(luò )安全信息保護管理規章制度01-31

醫院等級證明03-10

醫院信息系統安全等級保護工作實(shí)施方案02-21

工傷等級鑒定的申請03-28