认证咨询 About us
信息系统安全等级保护

信息系统安全等级保护介绍


       信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

       信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。


不同等级的信息系统应具备的基本安全保护能力如下:

  • 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。

  • 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。

  • 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

  • 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害, 能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。

  • 第五级安全保护能力:(略)。

信息系统安全等级保护基本要求:

        信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术 类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

       基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

       基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外, 还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录文件

对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施。


一、信息系统实施等级保护的基本流程见图 1

信息系统安全等级保护

在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。

二、信息系统定级,信息系统定级阶段的工作流程见图 2


三、信息安全等级保护备案的办理流程:


定级--准备备案材料--等级测评--提交备案材料

1、确定定级对象

定级对象的三个条件:

a. 具有确定的安全责任单位

b.具有信息系统的基本要素

c.承载相对独立的业务应用 

2、确定系统定级

a. 识别单位基本信息

b.识别管理框架

c. 识别业务种类、流程和服务

d.识别信息

e.识别网络结构和边界

f.识别主要的软硬件设备

g.识别用户类型和分布

h.形成定级结果

3.安全风险分析阶段

a.风险扫描;

b.机房物理安全分析;

c. 网络安全风险分析;

d.主机风险分析 ;

e.应用风险分析 f.数据安全风险分析;

g.信息安全管理体系分析。


信息系统安全等级保护的申请条件:


备案流程: 


a.定级

定级的依据就是你提到的《保护定级指南》。定级的原则是“自主定级”,确定等级后起草“定级报告”;

b.准备备案材料;

备案所需材料主要是,备案表模版里可以搜到。每个系统填写一份备案表,其中二级系统只需要填写备案表的表一、表二和表三;三级系统需要填写表一、表二、表三和表四;

c.等级测评;

二级系统不需要进行等级测评即可进行备案;三级系统需要有资质的测评机构进行测评并出具测评报告,测评报告作为备案材料之一(备案表四中有明确说明)进行备案;

d.提交备案材料;

将打印盖章,连同一份电子版提交到当地地市级以上公安局(现在叫网安支队),在审批结束后会为你出具,备案工作结束。

 





信息系统安全等级保护的认证周期时间


从启动备案至获得证书约3个月时间。

一、什么是等级保护?


信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。


二、等级保护工作具体包含哪些内容?


根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:

1.是信息系统定级;

2.是信息系统备案(定级备案);

3.是系统安全建设;

4.是信息系统等级测评(测评报告交属地公安机关备案);

5.主管单位定期开展监督检查。


三、为什么要开展等级保护工作?


主要理由如下:

1.通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象;

2.等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《信息安全等级保护管理办法》和《中华人民共和国网络安全法》;

3.很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做;

4.落实个人及单位的网络安全保护义务,合理规避风险。


四、去哪里进行信息系统的定级备案工作?


绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。


五、等级保护测评的费用是多少?


测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样,最后测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,具体可以向当地测评机构咨询。


六、等级保护测评一般多长时间能测完?


一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,以及双方的配合度等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3 周,出具报告时间一周,整体持续周期 1-2 个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。


七、等级保护测评多久需要测一次?


四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。


八、等级保护测评后的最终结论分为哪几种?

测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分。

九、等级保护测评结论不符合是不是等级保护工作就白做了?

等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。

十、测评结束后有什么书面性的材料证明自己开展过等保工作?

书面性材料有:一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告,加盖过测评机构公章及测评专用章。



联系我们 contact us
联系方式
邮编:510610
林老师:13902455120
公司邮箱:steven@gdszdh.com
地址:中国·深圳·南山区科技园朗山路7号南航大厦410
微信公众号
客服热线
+86 0755-2101 0617
服务时间 9:00-18:00
Copyright ©2005 - 2013 深圳市东航信息技术有限公司
犀牛云提供企业云服务