一、前言
近年来,随着互联网技术的不断发展及与社会的持续深入,我们享受互联网时代红利的时候,也不断遭受日益严峻的安全风险,网络安全问题不断增加,网络安全问题带来的影响范围不断加大。因此,网络不再是法律不管地带,因此针对网络安全的相关法律法规纷纷出台,其中包括《网络安全法》和网络安全等级保护制度。对于你所运营的网络设备、系统和网站等,一旦出现网络安全问题,会损害国家利益、社会利益和人民利益的,都需要落实网络安全等级保护制度。因此,依法开展网络安全等级保护备案工作,定级为等保二级以上的建议开展等级保护测评制度。等级保护三级必须每年进行等级保护测评。
通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护;梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
等保的意义:
一、降低信息安全风险,提高信息系统的安全防护能力;
二、满足国家相关法律法规和制度的要求;
三、满足相关主管单位和行业要求;
四、合理地规避或降低风险
二、等保和分保区别
2.1区分
1)责任主体和保护对象不同
等级保护:是实施信息安全管理的一项法定制度,是针对非涉密网来说。等级保护坚持自主定级、自主保护的原则。
分级保护:是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现,是针对涉密网来说。
2)等级划分
等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:秘密级、机密级、绝密级(实际中,有的已经分2个级别处理)。
分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。
涉密信息系统分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节。
3)主管部门
分级保护是由国家保密局发起的,推广带有强制性的。等级保护是公安部门发起的,执行力相对分保要弱一点。
等级保护的主管部门:
1.公安机关:等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导
2.国家保密工作部门、国家密码管理部门:负责等级保护工作中有关保密工作和密码工作的监督、检查、指导
3.国信办及地方信息化领导小组办事机构:负责等级保护工作部门间的协调,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责
分级保护的主管部门:
1.国家保密局及地方各级保密局:监督,检查,指导
2.中央和国家机关(本部门):主管和指导
3.建设使用单位:具体实施
2.2、等保二级和三级
等保二级测评每两年开展一次,而等保三级测评,每年开展一次。那么,除了开展的时间周期不一样,这两者,还有哪些区别呢?
1)定级要求不一样
就是测评的定级要求是不一样的,二级对于客体对象的影响和损害程度比三级的小。其外,二级等保测评的定级对象受到破坏时,没有对国家安全造成损害。而等保三级的定级对象被破坏有可能会对国家安全造成损害。
2)适用的场景不一样
三级的信息和数据涉及面更广,在地域跨度也更大:
二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统,小的局域网,非涉及秘密、敏感信息的办公系统等。
就企业来说,一般网站定级填写公安备案信息时,可参考论坛、微博、博客填选二级;其他类型网站全部选填三级。
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委网等。
3)等级测评强度不一样
等级测评强度由测评广度和深度来描述:测评广度越大,范围越大,包含的测评对象就越多,测评实际投入程度越高。测评的深度越深,越需要在细节上展开,测评实际投入程度也越高。
就深度而言,二级级测评无需进行测试验证,而三级是需要进行测试验证的,而就测试范围来说,三级测评对象更加多,更加全面,而二级只是进行多种类的抽样测评。
另外,在此提醒大家开展测评工作需要在期限时间内进行哦,否则容易收到整改要求,相关规定如下:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
等保2.0上海怎么测评?
发布时间:2025-04-08 16:44 点击:1次