信息安全
等級保護服務(wù)
| 一、等級保護簡介 |
|
《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。 等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全。 |
| 二、為什么要做等保測評 |
|
1. 降低信息安全風(fēng)險,提高信息系統(tǒng)的安全防護能力; |
| 三、等保測評如何分級 |
|
《信息安全等級保護管理辦法》規(guī)定,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。 信息系統(tǒng)的安全保護等級分為以下五級,一至五級等級逐級增高: 第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。 第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。 第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。 第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。 第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。 |
| 四、等級保護要求內(nèi)容 |
| 《信息安全等級保護基本要求》規(guī)定了不同安全保護等級信息系統(tǒng)的基本保護要求,包括技術(shù)要求(五項)和管理要求(五項),用于指導(dǎo)分等級的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。 |
 |
| 五、等級保護主要流程 |
 |
| 六、等級保護咨詢服務(wù)介紹 |
| 等級保護咨詢工作,是為客戶準(zhǔn)備啟動等級保護工作和在等級保護工作實施過程中,根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》提供等級保護工作的輔導(dǎo)服務(wù),協(xié)助客戶完成等級保護定級備案、信息系統(tǒng)調(diào)研梳理、信息系統(tǒng)安全評估、管理制度體系輔導(dǎo)、信息系統(tǒng)預(yù)測評、信息系統(tǒng)整改建議。 |
|
定級備案:協(xié)助客戶對信息系統(tǒng)進行定級,初步確定了安全保護等級后,將由上級主管部門對定級結(jié)果進行審核和批準(zhǔn),保證定級結(jié)果的準(zhǔn)確性。對信息系統(tǒng)的總體描述文檔、信息系統(tǒng)的詳細(xì)描述文件、信息系統(tǒng)安全保護等級確定結(jié)果等內(nèi)容進行整理,形成文件化的信息系統(tǒng)定級報告。隨后我們將協(xié)助客戶協(xié)助用戶向所在地區(qū)的公安機關(guān)辦理定級備案手續(xù)。 系統(tǒng)調(diào)研+安全評估:在客戶現(xiàn)場針對客戶系統(tǒng)進行調(diào)研,同時采用人員訪談、人工審計、漏洞掃描、滲透測試的方式,從安全技術(shù)和安全管理兩個方面對客戶信息系統(tǒng)進行安全評估,安全技術(shù)方面包括安全物理環(huán)境、安全通訊網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個方面存在的漏洞和弱點進行識別和分析;安全管理方面包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理五個方面存在的問題進行梳理。 系統(tǒng)預(yù)測評+差距分析:開展信息系統(tǒng)預(yù)測評工作,通過對照檢查、人工分析等方法,分析判斷目前所采取的安全保護措施與等級保護標(biāo)準(zhǔn)要求之間的差距。從安全控制差距分析、系統(tǒng)整體差距分析兩個方面確定信息系統(tǒng)安全整改需求,安全控制差距分析分為安全技術(shù)差距分析和安全管理差距分析兩大類;系統(tǒng)整體差距分析方面,主要分析信息系統(tǒng)的整體安全性;結(jié)合安全評估的結(jié)果進行差距分析,根據(jù)最終結(jié)果形成《系統(tǒng)差距分析報告》。 安全整改:形成差距分析之后,將進行安全整改建設(shè),以滿足國家等級保護的基本要求,提高客戶單位信息系統(tǒng)的安全保障能力和防護水平,維護國家安全、公共利益和社會穩(wěn)定,促進信息化建設(shè)的健康發(fā)展。整改建設(shè)包括管理安全整改建設(shè)和技術(shù)安全整改建設(shè)兩個方面。為客戶提供《系統(tǒng)整改建設(shè)方案》,并配合客戶按要求進行系統(tǒng)整改。 測評協(xié)助:在安全整改建設(shè)完成后,我們根據(jù)《信息安全等級保護基本要求》、《信息安全等級保護測評指南》,并根據(jù)測評機構(gòu)選取的測評范圍、測評對象、測評強度、測評方法,以現(xiàn)場配合的方式來協(xié)助客戶選定的等級保護測評機構(gòu)完成等級保護測評工作。盡可能的避免或減少測評工作對客戶系統(tǒng)和正常業(yè)務(wù)開展帶來的影響。 |
